Google un plan pour ajouter de nouveaux mécanismes de protection contre les téléchargements de fichiers non sécurisés dans Chrome. Dans Chrome 86, dont la sortie est prévue le 26 octobre, le téléchargement de tous types de fichiers via des liens à partir de pages ouvertes via HTTPS ne sera possible que si les fichiers sont servis via le protocole HTTPS. Il est à noter que le téléchargement de fichiers sans cryptage peut être utilisé pour mener des activités malveillantes via la substitution de contenu lors d'attaques MITM (par exemple, des logiciels malveillants qui attaquent les routeurs domestiques peuvent remplacer des applications téléchargées ou intercepter des documents confidentiels).
Le blocage sera mis en œuvre progressivement, à partir de la sortie de Chrome 82, dans lequel un avertissement commencera à apparaître lors d'une tentative de téléchargement de fichiers exécutables de manière non sécurisée via des liens depuis des pages HTTPS. Dans Chrome 83, le blocage sera activé pour les fichiers exécutables et un avertissement commencera à être émis pour les archives. Chrome 84 permettra le blocage des archives et un avertissement pour les documents. Dans Chrome 85, les documents seront bloqués et un avertissement commencera à apparaître pour les téléchargements non sécurisés d'images, de vidéos, d'audio et de texte, qui commenceront à être bloqués dans Chrome 86.
Dans un avenir plus lointain, il est prévu de cesser complètement de prendre en charge les téléchargements de fichiers sans cryptage. Dans les versions pour Android et iOS, le blocage sera mis en œuvre avec un décalage d'une version (au lieu de Chrome 82 - en 83, etc.). Dans Chrome 81, l'option « chrome://flags/#treat-unsafe-downloads-as-active-content » apparaîtra dans les paramètres, ce qui vous permettra d'activer les avertissements sans attendre la sortie de Chrome 82.
Source: opennet.ru