Bejelentette a Google, hogy az októberben érkező 86-os Chrome-kiadástól kezdődően minden olyan tartalom letöltését blokkolni fogja, amely HTTPS-oldalakban jelenik meg, de a nem biztonságos HTTP-n keresztül érkezik. Ez az ún. vegyes tartalmak tartalmazó oldalakat fogja érzékenyen érinteni.

A vegyes tartalmak olyan weboladalak, amelyeknél magát a HTML oldalt a biztonságos HTTPS-kapcsolaton keresztül tölti be a böngésző, de az oldalba beágyazott egyéb tartalmak (kép, videó, stíluslap, szkrip stb.) már egy nem biztonságos, HTTP-kapcsolaton keresztül érkeznek. A böngészők egyébként már általánosan figyelmeztetnek a nem biztonságos kapcsolaton keresztül érkező tartalmakra.

A Chrome biztonsági csapatának egyik tagja a döntést azzal magyarázta a Twitteren, hogy minden nem biztonságos kapcsolaton keresztüli letöltés gyengíti a magánélet védelmét és a biztonságot, mivel egy esetleges támadó láthatja, hogy mit tölt le a felhasználó, sőt akár le is cserélheti a letöltés tartalmát rosszindulatú kódra.

Step by step – háromnegyed év alatt

A terv szerint első lépésként a márciusban megjelenő 81-es verziójú Chrome egyelőre konzolüzenettel figyelmeztet minden vegyes tartalom letöltésre. Az egy hónappal később érkező 82-es kiadás a nem biztonságos kapcsolaton keresztül letöltődő végrehajtható fájlok (pl. exe) esetében már riasztás is megjelenik.

A júniusra tervezett 83-as kiadásban viszont már blokkolja a vegyes tartalomban a végrehajtható fájlokat, illetve figyelmeztet a nem biztonságos kapcsolaton jövő archívumok (.zip) és lemezképeket (.iso) jelenlétére. A 84-es kiadás már ez utóbbiakat is blokkolni fogja, és riaszt szinte minden más tartalom esetében. Ekkor azonban a kép, hang, videó és szöveges formátumú tartalmaknál még csak konzolüzenetet küld a böngésző. Utóbbiaknál a riasztás csak a 85-ös verziótól, azaz szeptembertől lép érvénybe.

Októbertől, a 86-as verzióban azonban már minden vegyes tartalmat blokkolni fog a Chrome (lásd az ütemterv-táblázatot).

A böngésző iOS-es és androidos változatban egy verzióval később lépnek érvénybe ugyanezek az intézkedések.

A vegyes tartalmak blokkolásának ütemterve
(Kattintson a képre, és nézze meg nagyobb méretben)

(Forrás: Chromium Blog)

A vállalati felhasználóknak azonban lesz egy kiskapu: a blokkolás ugyanis központilag feloldható lesz, ha a InsecureContentAllowedForUrls házirendben központilag megadnak kivételeket, ahonnan HTTP kapcsolat esetén is érkezhetnek tartalmak. A végfelhasználók a blokkolást csak egyedileg oldhatják fel: a címsorban a veszélyre figyelmeztető ikonra kattintva engedélyezhetik az adott oldalon a vegyes tartalmak letöltését.

A tisztán HTTP-s oldalaknál marad az eddigi rend

Mint a The Register megjegyzi, az intézkedés felemás. A HTTP-oldalaknál ugyanis marad az a riasztási szisztéma, amit a Chrome 70-es verziójában tett alapértelmezett beállítássá a Google.

A lap idézi egy fejlesztő twitteres bejegyzését, aki a figyelmeztetéssel egyetért, de a teljes blokkolást nem tartja jó ötletnek, különösen a nem végrehajtható fájlok esetében. Szerinte ez megnehezíti a régi tartalmak felhasználását, mivel korlátozza a hiperhivatkozások használatát, és ő maga hiába törekszik a maximális biztonságra, nem tud HTTPS-t varázsolni egy olyan webhelyen, ami nem az ő tulajdona – írta a fejlesztő a bejegyzésében.

A tervezett riasztási ablak

Azt egyébként a Chrome biztonsági szakértője is elismeri, hogy az internet óriási részét adják a soha nem frissülő statikus tartalmak. A Google nem szeretné ezeket elzárni a felhasználók elől, és keresik is a megoldást, de az nem egyszerű feladat.