Google запретит загрузку файлов по протоколу HTTP в Chrome 86 в октябре

    imageФото: www.bleepingcomputer.com

    Google в рамках усиления политики безопасности в Chrome полностью перейдет на использование протокола HTTPS при загрузке файлов. В Chrome 86 в октябре этого года загрузку нельзя будет осуществлять по протоколу HTTP. Это будет возможно только во внутренних сетях, которые необходимо будет настроить по специальной инструкции.

    Уже с Chrome 81 в марте пользователям начнут поступать уведомления о загрузке «сомнительного контента» при попытке скачать файл с незащищенного сервера. В Chrome 82 (в апреле 2020 года) Chrome будет предупреждать о загрузке исполняемых файлов смешанного содержимого (например, .exe). С июня система будет принудительно блокировать загрузку файлов с расширением .exe. Тогда же начнут выводиться сообщения о «сомнительности» ZIP-архивов и ISO-образов.

    image

    Планы по ограничениям затронут Windows, macOS, Chrome OS и Linux. На Android и iOS они начнут появляться с версии Chrome 83.

    Кстати, для пользователей, которые уже хотят протестировать эту функцию, у Google есть экспериментальный флаг под названием «Рассматривать рискованные загрузки по незащищенным соединениям как активный смешанный контент». Его можно включить в Chrome 80 и более поздних версиях.

    Как отмечают в Google, «смешанные загрузки контента» представляют собой угрозу безопасности и конфиденциальности пользователей. Так, загруженные программы могут быть заменены злоумышленниками на вредоносное ПО, а перехватчики могут читать небезопасно загруженные банковские выписки пользователей.

    Компания призвала разработчиков полностью перейти на HTTPS, чтобы избежать будущих ограничений и полностью защитить своих пользователей.
    См. также: «Mozilla и Google удалили около 200 потенциально вредоносных расширений для Firefox и Chrome»
    Ранее Google начал тестировать функцию, которая будет отображать поисковый запрос в адресной строке Chrome, а не URL реальной страницы при выполнении поиска. Эта экспериментальная функция называется «Query in Omnibox» и доступна в виде флага, начиная с версии Chrome 71, но по умолчанию отключена. В ходе теста функция включается и позволяет отображать ключевое слово поиска в адресной строке браузера, а не URL.
    См. также: «Пользуетесь Google Chrome? Значит Google собирает ваши данные через X-client-data»
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 42

      +19
      Судя по таблице, они вообще загрузку любых файлов отпилить собираются…
      Нефиг пользователю все эти небезопасные PNG-шки с MP3-шками качать!
      Не могу понять только, почему они хотят разные типы содержимого постепенно в разных версиях отключать? В чём принципиальные отличия разных типов, и почему тогда уж не отключить все сразу?
      Хотя и вообще не очень понимаю вот это желание запихнуть HTTPS не только туда, где он действительно нужен, но и вообще везде, включая передачу аудио, видео и т.п.
        –1
        Это же очень удобно, когда появляется возможность заблокировать любой сайт просто принудив по суду отозвать сертификат.
          0
          Наш ответ — самоподписанные сайты :)
            +4

            А самоподписанные сертификаты Хром тоже заблокирует — они недоверенные же. И проверять валидность будет в интернете по базам Гугла, чтобы на компе нельзя было сертификат в доверенные добавить.
            Всё для Вашей безопасности!

              +3
              Это только пока хром доверяет системным корневым сертификатам, а ведь если начнется массовая история вида «чтобы смотреть этот сайт — установите сертификат» (который заодно позволяет MITM), придется юзеров защищать уже от системного хранилища сертификатов, со всеми вытекающими плюшками
            –1
            Через Gmail они тоже запретили отправлять всё, что только можно. Иногда так раздражает, когда нужно человеку отправить собранный бинарник, а у него это уродское мыло от Google, и даже в архиве ни хрена не проходит, якобы «для безопасности». И ладно бы только бинарники, но там даже скрипты (bat, vb/vbs) режутся. Мало того, документы и справочники в формате CHM оно тоже зачем-то прибивает.
            • НЛО прилетело и опубликовало эту надпись здесь
            +5
            Я, в целом, за безопасность, конечно, но лично мне это может создать проблемы. Условно, у меня есть торрентокачалка, которая стоит дома и качает торренты, скачанный файл я потом забираю с вебморды куда угодно, где торренты я качать по той или иной причине не могу. HTTPS у торрентокачалки, естественно, нет — и что мне в таком случае делать? Нет, окей, я могу, конечно, забирать файлы по FTP, например, но, кажется, было бы правильном дать возможность руками вбить адрес в белый список (не нажать кнопку «добавить в белый список», а именно руками ввести адрес).
              +1
              Если они не сделают никакого флага отключающего эти блокировки, то я сходу вижу два пути:
              1. прикрутить HTTPS к качалке
              2. забирать файлы не хромом, а каким-нибудь wget'ом, flashget'ом, или другой качалкой.

              Причем с первого тычка нагуглился плагин для вызова wget
                +24
                1. Перестать наконец пользоваться хромом и скачать уже нормальный браузер.
                • НЛО прилетело и опубликовало эту надпись здесь
                    –2
                    Да и Firefox в этом направлении стремительно движется.
                      +1
                      Ну это вряд ли. Зачем они тогда, чтобы не стать хромиумом, аж целый язык программирования изобрели?
                        +1

                        По моим ощущениям два главных браузера отличаются сейчас как пепси-кола и кока-кола. Ну, Мозилла сейчас на словах за все хорошее против всего плохого. Прямо как Гугл когда-то, хе-хе. На деле там и там навязанная заботка как бы о безопасности. Я не дам тебе открыть веб-интерфейс старого свича, который к твоему компу подключен прямо патч-кордом, потому что там небезопасная безопасность.
                        https://www.reddit.com/r/networking/comments/4fer5p/browser_with_rc4_support_for_legacy_devices/?utm_source=amp&utm_medium=&utm_content=post_body

                          0
                          Дак по ссылке в комментариях и указано, что как раз в FireFox получилось открыть web-интерфейс, внеся изменения в конфигурацию через about:config.
                    0

                    Вот только разработкой под другие браузеры заниматься очень грустно.
                    В повседневной жизни стараюсь хромом не пользоваться. В большинстве случаев стандартные edge и safari работают нормально, а вот дебажить свой сайт в хроме удобнее на порядки (частично и из-за привычки, конечно)
                    А на мобильных платформах кроме хрома ничего адекватного и вовсе нет. Firefox дико глючит, не поддерживает ввод иероглифами адекватно, что вообще недопустимо в наше время.


                    Замкнутый круг — разрабатываются и тестируются сайты прежде всего под хромом, потому что и удобнее и аудитория у хрома большая, а аудитория пользуется хромом, частично, потому, что все сайты заточены под него.

                      0

                      на мобилке есть киви браузер
                      там работают расширения

                        0

                        Расширения и в стабильной Firefox Mobile есть.

                        +1
                        Замкнутый круг — разрабатываются и тестируются сайты прежде всего под хромом, потому что и удобнее и аудитория у хрома большая, а аудитория пользуется хромом, частично, потому, что все сайты заточены под него.

                        Сайт предназначен для просмотра в Internet Explorer 6.0 Chrome 68 или выше
                        • НЛО прилетело и опубликовало эту надпись здесь
                        0
                        А если торрент качалка в локалке по айпи? Вообще таким образом отвалятся куча серверов для внутренних нужд.
                        +7

                        Как обычно, не правильный перевод статьи. В оригинале говорится, что блокироваться будут только HTTP ссылки ведущие с HTTPS сайтов. Т.е. в вашем случае достаточно просто отдавать весь контент по HTTP.


                        Во всяком случае, пока что достаточно.

                        +16
                        Ах, какая забота о конечном пользователе! Аж браузер сменить захотелось
                          +2

                          Microsoft Edge — как изменить всё, ничего не меняя.

                          +5
                          А какая разница получу я вирус по HTTP или по HTTPS?
                            +6
                            Его по дороге не модифицирует ваш ОПСОС.
                              0
                              Опсосы вставляют рекламу в хтмл, это известно, но в указанные форматы?
                                +1

                                А что, перспективное направление)
                                Скачиваешь MP3 — а там в начале "Попробуйте новый "Гудок" от Мегафона!"

                                  +7
                                  Не, скорее скачиваешь mp3 — получаешь смс «подписка на <опсос>.Музыка активирована, деньги списаны с вашего баланса, а эта mp3 теперь лицензионная»
                            –6
                            анус пусть себе запретит
                              –2
                              HTTPS требует больших вычислительных ресурсов на сервере и клиенте, особенно при отправке тяжелых файлов. Соответственно, больше потребления энергии и больше выбросов углекислого газа. Как гугл такое может допустить?

                              А на деле — для начала могли бы обеспечить всех бесплатными сертификатами, хотя бы для личных целей.
                                +6

                                Let's encrypt, нет?

                                  –6
                                  Бесплатными сертификатами хотя бы на год, потому что certbot не со всем совместим, а менять каждые три месяца сертификат руками такое себе удовольствие. С другой стороны есть Cloudflare, который эту проблему решает.
                                    +5

                                    Когда дают бесплатно, приличные люди благодарят.
                                    Остальным хоть на 10 лет дай, без толку.

                                      +1
                                      В данном случае это желание Google перевести всех на https где надо и где нет. Но, как я уже написал выше, Cloudflare здорово выручает, бесплатно и на неограниченное время.
                                        +2
                                        Тебе в подворотне предлагают, конечно для твоего же блага, кирпич, но, пока что, за бесплатно. Завтра, может быть, за него придётся платить.
                                        Приличные люди стараются не позволять указывать каким протоколом им пользоваться, а каким нет.
                                  +7

                                  В этом переводе новости упустили главный момент — заблокируют загрузку по HTTP файлов со страниц, загруженных по HTTPS. Так что если у вас изначально "небезопасный" сайт, то качайте оттуда свои небезопасные файлы сколько влезет.

                                    +1
                                    Если так пойдет, кажется, через какое-то время и сами http сайты будут по умолчанию запрещены к открытию в браузере…
                                    0
                                    То есть чтобы запретить в Chrome скачивание картинки мне достаточно раздавать её по HTTP? Или с картинками на странице такое не сработает?
                                      0
                                      По идее получается да, но только хром начнет ругаться на смешанное содержимое на странице и помечать ее в адресной строке как не безопасную.
                                      0
                                      Значит, IE станет нужен не тоько для установки Хрома, но и в качестве загрузчика.
                                        0
                                        Или вырастет спрос на SSL-сертификаты, или на другие браузеры.

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое