Google ha anunciado un calendario para eliminar gradualmente las descargas de archivos inseguros en el navegador Chrome, comenzando con la versión de escritorio 81 que saldrá el próximo mes.
Conocidos en la jerga como “descargas de contenido mixto”, estos son archivos como ejecutables, documentos y archivos multimedia ofrecidos desde sitios web seguros HTTPS a través de conexiones HTTP inseguras.
Esto es preocupante porque un usuario que vea el candado HTTPS en una web usando Chrome como navegador, podría asumir que cualquier descarga que ofrezca también es segura (los sitios HTTP que ofrecen descargas ya están marcados como “no seguro”).
Eso, por supuesto, es una suposición arriesgada, como señala el comunicado de Google:
Los archivos descargados de forma insegura representan un riesgo para la seguridad y la privacidad de los usuarios. Por ejemplo, los atacantes pueden cambiar los programas descargados de forma insegura por malware y los espías pueden leer los extractos bancarios de los usuarios descargados de forma insegura.
Google introducirá este cambio gradualmente en lugar de hacerlo todo a la vez, al principio ofreciendo advertencias sobre descargas ejecutables a través de HTTP en las versiones 81 y 82 del navegador de escritorio.
A partir de la versión 83, que se lanzará en junio, se bloquearán por completo y Chrome comenzará a ofrecer advertencias para archivos como .zip.
En versiones posteriores, el mismo proceso de advertencia y bloqueo comenzará a aplicarse para descargas como .doc y PDF, imágenes, videos y archivos de música hasta que, en la versión 86 de Chrome en octubre, se bloquearán todas las descargas a través de HTTP.
Las versiones móviles de Chrome utilizarán el mismo calendario, excepto que cada hito aplicará una versión posterior a la versión de escritorio.
Los clientes empresariales y educativos podrán desactivar la política por sitio utilizando la política InsecureContentAllowedForUrls, dijo Google.
Un largo camino
Este último plan subraya cómo la promoción de HTTPS por parte de Google en todas partes en Chrome se ha convertido en un largo viaje.
La mayor parte de este, fue persuadir a los sitios web para que usen HTTPS en lugar de HTTP inseguro. Ha llevado años, pero el esfuerzo ha valido la pena: cada web que merece ser visitada ahora está protegida de esta manera.
Más recientemente, Chrome apuntó hacia el contenido mixto como imágenes, audio y videos que se pueden cargar de forma insegura a través de HTTP. Además de crear problemas de seguridad, esto también podría ser confuso para los usuarios que se enfrentaron con advertencias de “contenido inseguro” a pesar de que el sitio visitado utiliza HTTPS.
Esa iniciativa todavía está en curso con el bloqueo de imágenes que no se cargan a través de HTTPS debido a que comenzará a partir de la versión 81 de Chrome, que vence a finales de este mes.
Los desarrolladores que quieran probar sus sitios pueden habilitar un mensaje de advertencia en Chrome Canary (o v81 cuando se publique) al habilitar el Tratamiento de descargas peligrosas sobre conexiones inseguras como indicador de contenido mixto activo al usar chrome://flags/#treat-unsafe-downloads-as-active-content.
Restringir las descargas a las conexiones HTTPS no garantiza que la descarga no sea maliciosa, simplemente significa que la descarga no ha sido alterada mientras viaja del servidor a su ordenador.
Pero tendrá el efecto importante de forzar a las webs que todavía creen que HTTP es algo que aún pueden utilizar.