Google ha annunciato la sua tabella di marcia per l’eliminazione graduale dei download di file non sicuri nel browser Chrome, a partire dalla versione desktop 81 prevista per il mese prossimo.
Conosciuti in gergo come “download di contenuti misti”, si tratta di file come eseguibili software, documenti e file multimediali offerti da siti Web HTTPS sicuri tramite connessioni HTTP non sicure.
Questo rappresenta un problema perché un utente che vede il lucchetto HTTPS su un sito visitato utilizzando Chrome potrebbe presumere che tutti i download che offre siano anche sicuri (i siti HTTP che offrono download sono già contrassegnati come “non sicuri”).
Si tratta, ovviamente, di una supposizione rischiosa, come sottolinea l’annuncio di Google:
I file scaricati in modo non sicuro rappresentano un rischio per la sicurezza e la privacy degli utenti. Ad esempio, i programmi scaricati in modo non sicuro possono essere sostituiti con malware da parte di utenti malintenzionati. Inoltre gli intercettatori possono leggere gli estratti conto bancari scaricati in modo non sicuro.
Google introdurrà questo cambiamento gradualmente, cominciando con l’avvisare sui download eseguibili via HTTP nelle versioni 81 e 82 del browser desktop.
A partire dalla versione 83, prevista per giugno, questi verranno bloccati completamente e Chrome inizierà ad avvisare in merito ai file di archivio come .zip.
Nelle versioni successive, lo stesso processo di avvertimento e blocco inizierà a essere applicato a download come .doc e PDF, immagini, video e file musicali fino a quando, dalla versione 86 di Chrome a ottobre, tutti i download tramite HTTP verranno bloccati.
Le versioni mobili di Chrome seguiranno lo stesso iter tranne che per il fatto che ogni milestone verrà applicata una versione successiva rispetto alla versione desktop
Una lunga strada
Quest’ultimo progetto sottolinea come la promozione di HTTPS da parte di Google ovunque in Chrome si sia trasformata in un lungo viaggio.
La parte più importante è stato convincere i siti Web a utilizzare l’HTTPS anziché l’HTTP non sicuro. Ci sono voluti anni ma lo sforzo è stato ripagato: ogni sito web che vale la pena visitare è ora protetto in questo modo.
Più recentemente, Chrome ha preso di mira contenuti misti come immagini, audio e video che possono essere caricati in modo non sicuro da http. Oltre a creare problemi di sicurezza, ciò potrebbe anche essere fonte di confusione per gli utenti che si sono trovati di fronte a avvisi di “contenuti non sicuri” nonostante il sito visitato utilizzasse HTTPS.
L’iniziativa è ancora in corso con il blocco delle immagini che non si possono caricare da HTTPS a partire dalla versione 81 di Chrome, prevista per la fine di questo mese.
Gli sviluppatori che desiderano testare i loro siti possono abilitare un messaggio di avviso in Chrome Canary (o v81 quando viene rilasciato) abilitando l’opzione Tratta i download rischiosi su connessioni non sicure come contenuto misto attivo durante l’utilizzo di chrome://flags/#treat-unsafe-downloads-as-active-content.
Limitare i download alle connessioni HTTPS non garantisce che non siano dannosi: significa semplicemente che il download non è stato manomesso mentre viaggia dal server al computer.
Ma avrà l’effetto importante di stringere le viti finali su siti che credono che l’utilizzo dell’HTTP sia ancora qualcosa con cui se la possono cavare.
Lascia un commento