Google решил, что недостаточно просто надеяться, что вы не загрузите неизвестные файлы по незащищенным соединениям, и поэтому он попытается помешать вам сделать это в Chrome.
Начиная с Chrome 82, популярный веб-браузер выдает осторожное предупреждение о том, что загрузка исполняемых файлов — т.е. exe, apk, — по HTTP — просто плохая идея, и на экране появится запрос на повторное рассмотрение.
Позже, когда Chrome 83 будет выпущен в июне 2020 года, Chrome просто остановит загрузку исполняемых файлов по всем соединениям, отличным от HTTPS. В будущих выпусках мягкие предупреждения исчезнут, и не будет возможности загрузить что-либо.mp3, png, архивы — если это не сделано через HTTPS.
Джо ДеБласио, инженер-программист, работающий в команде безопасности Chrome, поделился подробностями в длинном посте, а также с графиком времени, когда порткуллизис файлов через HTTP будет сброшен.
«В качестве первого шага мы концентрируемся на небезопасных загрузках, начатых на защищенных страницах. Эти случаи особенно важны, поскольку в настоящее время Chrome не дает пользователю никаких указаний на то, что его конфиденциальность и безопасность находятся под угрозой.
«Начиная с Chrome 82 (будет выпущен в апреле 2020 года), Chrome постепенно начнет предупреждать, а затем блокировать эти смешанные загрузки контента. Типы файлов, которые представляют наибольшую опасность для пользователей (например, исполняемые файлы), будут затронуты в первую очередь, а последующие выпуски будут охватывать больше типов файлов.
«Это постепенное развертывание предназначено для быстрого снижения наихудших рисков, предоставления разработчикам возможности обновлять сайты и минимизировать количество предупреждений, которые должны видеть пользователи Chrome».
Платформы для настольных компьютеров — то есть Windows, MacOS, Linux и, естественно, собственная Chrome OS от Google — получат выгоду от этого подхода, ориентированного на безопасность, перед iOS и Android, обновления которого будут отложены на один цикл выпуска.
DeBlasio побуждает разработчиков полностью перейти на HTTPS «чтобы избежать будущих ограничений» и намекает на более жесткие ограничения на загрузку контента в будущем.
Источник: