Google kế hoạch bổ sung các cơ chế mới để bảo vệ khỏi việc tải xuống tệp không an toàn trong Chrome. Trong Chrome 86, dự kiến phát hành vào ngày 26 tháng XNUMX, việc tải xuống tất cả các loại tệp qua liên kết từ các trang được mở qua HTTPS sẽ chỉ có thể thực hiện được nếu các tệp được cung cấp bằng giao thức HTTPS. Cần lưu ý rằng việc tải xuống các tệp mà không mã hóa có thể được sử dụng để thực hiện hoạt động độc hại thông qua việc thay thế nội dung trong các cuộc tấn công MITM (ví dụ: phần mềm độc hại tấn công bộ định tuyến gia đình có thể thay thế các ứng dụng đã tải xuống hoặc chặn các tài liệu bí mật).
Việc chặn sẽ được triển khai dần dần, bắt đầu từ việc phát hành Chrome 82, trong đó cảnh báo sẽ bắt đầu xuất hiện khi cố gắng tải xuống các tệp thực thi một cách không an toàn thông qua các liên kết từ các trang HTTPS. Trong Chrome 83, tính năng chặn sẽ được bật đối với các tệp thực thi và cảnh báo sẽ bắt đầu được đưa ra đối với các tệp lưu trữ. Chrome 84 sẽ kích hoạt tính năng chặn lưu trữ và cảnh báo cho tài liệu. Trong Chrome 85, tài liệu sẽ bị chặn và cảnh báo sẽ bắt đầu xuất hiện đối với việc tải xuống hình ảnh, video, âm thanh và văn bản không an toàn. Những nội dung này sẽ bắt đầu bị chặn trong Chrome 86.
Trong tương lai xa hơn, có kế hoạch ngừng hoàn toàn việc hỗ trợ tải tệp lên mà không cần mã hóa. Trong các bản phát hành dành cho Android và iOS, việc chặn sẽ được triển khai với độ trễ của một bản phát hành (thay vì Chrome 82 - trong 83, v.v.). Trong Chrome 81, tùy chọn “chrome://flags/#treat-unsafe-downloads-as-active-content” sẽ xuất hiện trong cài đặt, tùy chọn này sẽ cho phép bạn bật cảnh báo mà không cần đợi Chrome 82 được phát hành.
Nguồn: opennet.ru