Więcej
Chrome zablokuje pobieranie załączników HTTP ze stron HTTPS

Chrome zablokuje pobieranie załączników HTTP ze stron HTTPS

18-02-2020 15:28:21
Google będzie chronić użytkowników Chrome przed pobieraniem niebezpiecznych plików, stopniowo blokując ściąganie ze stron zabezpieczonych certyfikatem SSL załączników korzystających z HTTP.
 
Google konsekwentnie kontynuuje swój program walki z "mixed content", o którym pisaliśmy w jednym z ostatnich artykułów. Teraz kolej na walkę z pobieraniem plików po HTTP, które to rozpoczęło się na bezpiecznych stronach korzystających z HTTPS.
 
Pobierane niepewne pliki stanowią zagrożenie dla bezpieczeństwa i prywatności użytkowników. Na przykład, pobrane w niezabezpieczony sposób programy mogą zostać zamienione na złośliwe oprogramowanie przez osoby atakujące, a podsłuchujący mogą odczytać pobrane w ten sposób wyciągi bankowe. Aby zaradzić tym zagrożeniom, planujemy ostatecznie usunąć obsługę niepewnych pobrań w Chrome.
- Chrome security team
 
Chrome 86 mixed content download
Źródło: Google

Ostrzeżenia i blokowanie plików pobieranych po HTTP

 
82
Na chwilę obecną przeglądarka Chrome nie informuje o żadnych niepewnych pobraniach ze stron korzystających z HTTPS. Jednak w kwietniu 2020, wraz z oddaniem do użytku Chrome 82, pojawią się ostrzeżenia i dotyczyły będą prób pobrania plików wykonywalnych, takich jak .APK i .EXE. Na pasku pobierania pojawi się informacja, że plik „Nie może zostać bezpiecznie pobrany”.
 
83
W czerwcu, gdy pojawi się Chrome 83, pliki wykonywalne będą blokowane, a dodatkowo zacznie się ostrzeganie przed plikami archiwów jak np. ZIP i .ISO
 
84
W sierpniu, Chrome 84 zacznie blokować poza plikami wykonywalnymi także pliki archiwów, oraz zacznie ostrzegać przed pobieraniem pozostałych typów plików poza zdjęciami, audio, video i tekstem.
 
85
We wrześniu Chrome zacznie ostrzegać przed pobieraniem zdjęć, audio, video i tekstu i zacznie blokować wszystkie pozostałe typy plików.
 
86
Od października 2020 r. blokowane będą wszystkie pliki pobierane po HTTP ze stron korzystających z HTTPS.
 
Właścicielom stron internetowych nie pozostaje nic innego jak... poprawnie i w pełni wdrożyć certyfikat SSL, do czego zachęcamy.
 
 
Źródło: https://security.googleblog.com/2020/02/protecting-users-from-insecure_6.html

Najnowsze wpisy

Firefox wprowadził tryb HTTPS-only
21-01-2021 14:17:11

Pod koniec zeszłego roku na rynku zadebiutowała nowa wersja przeglądarki – Firefox ’83. Użytkownicy znajdą w niej sporo aktualizacji i nowości. Jedną z wprowadzonych zmian, ku większemu bezpieczeństwu i zaufaniu użytkowników, jest tryb HTTPS-Only.

Firefox wprowadził tryb HTTPS-only
Masz androida? Twój Let's Encrypt może nie zadziałać
09-12-2020 14:15:37

Certyfikat Let’s Encrypt może nie zadziałać nawet na co trzecim urządzeniu z systemem operacyjnym Android. W związku z zapowiedzią, w 2021 roku Let’s Encrypt zaprzestanie używać DST Root X3 na rzecz własnego certyfikatu głównego – ISRG Root X1.

Masz androida? Twój Let's Encrypt może nie zadziałać
ECC w szyfrowaniu SSL
07-10-2020 11:28:10

Internet stał się nieodłączną częścią naszego życia. Pracujemy, używając sieci. Robimy zakupy, płacimy rachunki, dokonujemy różnego typu transakcji. Nasze dane wrażliwe, podlegają ciągłej dystrybucji. Jak chronić ich bezpieczeństwo? Odpowiedzią na to są certyfikaty SSL. Śmiało możemy powiedzieć, że są polisą ubezpieczeniową naszych danych.

 

ECC w szyfrowaniu SSL
więcej wpisów