Więcej
Chrome zablokuje pobieranie załączników HTTP ze stron HTTPS

Chrome zablokuje pobieranie załączników HTTP ze stron HTTPS

18-02-2020 15:28:21
Google będzie chronić użytkowników Chrome przed pobieraniem niebezpiecznych plików, stopniowo blokując ściąganie ze stron zabezpieczonych certyfikatem SSL załączników korzystających z HTTP.
 
Google konsekwentnie kontynuuje swój program walki z "mixed content", o którym pisaliśmy w jednym z ostatnich artykułów. Teraz kolej na walkę z pobieraniem plików po HTTP, które to rozpoczęło się na bezpiecznych stronach korzystających z HTTPS.
 
Pobierane niepewne pliki stanowią zagrożenie dla bezpieczeństwa i prywatności użytkowników. Na przykład, pobrane w niezabezpieczony sposób programy mogą zostać zamienione na złośliwe oprogramowanie przez osoby atakujące, a podsłuchujący mogą odczytać pobrane w ten sposób wyciągi bankowe. Aby zaradzić tym zagrożeniom, planujemy ostatecznie usunąć obsługę niepewnych pobrań w Chrome.
- Chrome security team
 
Chrome 86 mixed content download
Źródło: Google

Ostrzeżenia i blokowanie plików pobieranych po HTTP

 
82
Na chwilę obecną przeglądarka Chrome nie informuje o żadnych niepewnych pobraniach ze stron korzystających z HTTPS. Jednak w kwietniu 2020, wraz z oddaniem do użytku Chrome 82, pojawią się ostrzeżenia i dotyczyły będą prób pobrania plików wykonywalnych, takich jak .APK i .EXE. Na pasku pobierania pojawi się informacja, że plik „Nie może zostać bezpiecznie pobrany”.
 
83
W czerwcu, gdy pojawi się Chrome 83, pliki wykonywalne będą blokowane, a dodatkowo zacznie się ostrzeganie przed plikami archiwów jak np. ZIP i .ISO
 
84
W sierpniu, Chrome 84 zacznie blokować poza plikami wykonywalnymi także pliki archiwów, oraz zacznie ostrzegać przed pobieraniem pozostałych typów plików poza zdjęciami, audio, video i tekstem.
 
85
We wrześniu Chrome zacznie ostrzegać przed pobieraniem zdjęć, audio, video i tekstu i zacznie blokować wszystkie pozostałe typy plików.
 
86
Od października 2020 r. blokowane będą wszystkie pliki pobierane po HTTP ze stron korzystających z HTTPS.
 
Właścicielom stron internetowych nie pozostaje nic innego jak... poprawnie i w pełni wdrożyć certyfikat SSL, do czego zachęcamy.
 
 
Źródło: https://security.googleblog.com/2020/02/protecting-users-from-insecure_6.html

Najnowsze wpisy

Weryfikacja prawa do domeny za pomocą połączenia telefonicznego
03-06-2020 11:45:25

CA/Browser Forum wypracowało nowe metody weryfikacji prawa do domeny. Dotychczas odbywało się to za pomocą wiadomości e-mail, zamieszczenia pliku na serwerze oraz za pomocą DNS TXT. Teraz czas na potwierdzenia prawa do domeny za pomocą połączenia głosowego.

 

Weryfikacja prawa do domeny za pomocą połączenia telefonicznego
Wygasa AddTrust - zewnętrzny CA Root Sectigo
27-04-2020 10:47:05

Sectigo oferowało możliwość podpisywania certyfikatów przy użyciu starszego roota (AddTrust), aby zapewnić obsługę starych systemów i urządzeń. Root ten wygasa 30 maja 2020 r.

Wygasa AddTrust - zewnętrzny CA Root Sectigo
Let’s Encrypt unieważnia certyfikaty
04-03-2020 13:57:21

Korzystasz z bezpłatnego certyfikatu SSL? Twoją witrynę mogą dotknąć poważne konsekwencje. Let’s Encrypt unieważni miliony certyfikatów SSL. Zmiana nastąpi 4 marca 2020 roku. Powodem zaistniałej sytuacji jest błąd autoryzacji CAA.

Let’s Encrypt unieważnia certyfikaty
więcej wpisów