Google új mechanizmusok hozzáadásának terve a nem biztonságos fájlletöltések ellen a Chrome-ban. A Chrome 86-ban, amelynek megjelenése október 26-án várható, a HTTPS-en keresztül megnyitott oldalak linkjein keresztül minden típusú fájl letöltése csak akkor lehetséges, ha a fájlok kiszolgálása HTTPS-protokoll használatával történik. Megjegyzendő, hogy a fájlok titkosítás nélküli letöltése rosszindulatú tevékenység végrehajtására használható tartalomcsere révén MITM-támadások során (például az otthoni útválasztókat megtámadó rosszindulatú programok helyettesíthetik a letöltött alkalmazásokat vagy elfoghatják a bizalmas dokumentumokat).
A blokkolást fokozatosan hajtják végre, kezdve a Chrome 82 kiadásától, amelyben figyelmeztetés jelenik meg, amikor HTTPS-oldalak hivatkozásain keresztül nem biztonságosan próbálnak letölteni futtatható fájlokat. A Chrome 83-ban engedélyezve lesz a futtatható fájlok blokkolása, és figyelmeztetés jelenik meg az archívumok esetében. A Chrome 84 engedélyezi az archívum letiltását és a dokumentumok figyelmeztetését. A Chrome 85-ben a dokumentumok blokkolva lesznek, és figyelmeztetés jelenik meg a képek, videók, hangok és szövegek nem biztonságos letöltése esetén, ami blokkolva lesz a Chrome 86-ban.
A távolabbi jövőben a tervek szerint teljesen leállítják a titkosítás nélküli fájlfeltöltés támogatását. Az Android és iOS verziókban a blokkolást egy kiadás késéssel hajtják végre (a Chrome 82 helyett - 83-ban stb.). A Chrome 81-ben a beállítások között megjelenik a „chrome://flags/#treat-unsafe-downloads-as-active-content” opció, amely lehetővé teszi a figyelmeztetések engedélyezését anélkül, hogy megvárná a Chrome 82 megjelenését.
Forrás: opennet.ru