Overgangen til den sikrere kommunikasjonsprotokollen HTTPS har kommet langt, men ennå finnes det «hull» som Google nå melder at de ønsker å fikse.
På Chromium-bloggen opplyser selskapet nemlig at Chrome nå skal begynne å blokkere det de kaller «blandet innhold»-nedlastinger. Dette innebærer at nettleseren skal blokkere nedlastinger som ikke bruker HTTPS-protokollen på HTTPS-sider.
Begynner med advarsler
Som Google peker på gir Chrome i dag ingen indikasjoner til brukeren på at personvernet eller sikkerheten er i fare dersom man besøker en HTTPS-side, som kan gi en falsk trygghet siden innholdet som lastes ned fra slike sider ikke nødvendigvis er sikre.
Selskapet skriver at disse usikre nedlastingene for eksempel kan ta form som skadevare, eller at hackere kan få tilgang til bankutskrifter som er lastet ned på usikret vis.
Chrome 82, som etter planen skal lanseres i april i år, vil begynne å advare brukere mot de potensielt farlige nedlastingene. Disse advarslene vil omfatte kjørebare filer, slik som .exe-filer, da disse medfører den største risikoen for brukerne.
Vil blokkere gradvis flere filer
Fra og med Chrome 83 vil nedlastinger av usikre, kjørbare filer blokkeres. I fortsettelsen, fra Chrome 84, vil formater som .zip og .iso blokkeres, mens de påfølgende Chrome-versjonene også vil blokkere dokumentfiler av typen .pdf og .docx, samt mediafiler.
Er nettstedet ditt forberedt på cookie-kravet som kommer Chrome i februar?
Den gradvise utrullingen er ment å redusere de største truslene kjapt, gi utviklere anledning til å oppdatere nettsider, og begrense hvor mange advarsler brukerne ser. Til slutt er planen å fjerne støtte for usikre nedlastinger fullstendig i Chrome, sier Google.
Initiativet startet allerede i oktober i fjor, da Google først pekte på problemet med at ressurser på HTTPS-sider ofte lastes usikkert over HTTP-protokollen, og at selv om brukeren kan blokkere mange typer blandet innhold, vil andre typer innhold som bilder, lyd og video fremdeles kunne lastes.