Il team di sviluppo di Google Chrome prosegue nella implementazione della sua strategia di rendere il browser più sicuro e la navigazione web maggiormente rispettosa della privacy degli utenti.
Era stato già anticipato da Google un imminente e ulteriore giro di vite sui contenuti web non Https, e ora arriva l’annuncio che Chrome farà gradualmente in modo che le pagine sicure (Https) scarichino solo file sicuri.
Il browser inizierà dunque a bloccare quelli che vengono definiti dall’azienda “mixed content downloads”, cioè i download non Https avviati su pagine sicure, in coerenza con l’intenzione annunciata di perseguire un approccio teso a bloccare tutte le risorse secondarie non sicure sulle pagine sicure.
I file scaricati in modo non sicuro rappresentano un rischio per la sicurezza e la privacy degli utenti. Ad esempio, i programmi scaricati in modo non sicuro potrebbero essere scambiati con malware da parte di malintenzionati; oppure, i cyber-attacker potrebbero leggere informazioni riservate, quali estratti conto bancari, se questi sono scaricati in modo non sicuro.
Per far fronte a questi rischi, Google intende arrivare alla rimozione del supporto per download non sicuri in Chrome. Tuttavia, questo è un processo che avverrà gradualmente.
Come primo passo, Google si è focalizzata sui download non sicuri avviati su pagine sicure. Questi casi sono particolarmente preoccupanti, dichiara la società di Mountain View, perché Chrome attualmente non fornisce alcuna indicazione all’utente che la privacy e la sicurezza siano a rischio.
A partire da Chrome 82, che sarà rilasciato ad aprile 2020, Chrome inizierà gradualmente a mettere in guardia e successivamente a bloccare questi download di contenuto misto.
I tipi di file che presentano il rischio maggiore per gli utenti (ad esempio gli eseguibili) saranno i primi a essere colpiti, e le versioni successive copriranno più tipi di file. Questo roll out graduale è progettato dal team del browser per mitigare in modo rapido i rischi peggiori, e al contempo offrire agli sviluppatori l’opportunità di aggiornare i siti e ridurre al minimo il numero di avvisi che gli utenti di Chrome devono visualizzare.
Per prima cosa, l’implementazione delle restrizioni sui download di contenuti misti avverrà sulle piattaforme desktop: Windows, macOS, Chrome OS e Linux.
- Chrome 81 sarà rilasciato a marzo 2020 e inizierà a introdurre un avviso di console su tutti i download di contenuti misti.
- Con Chrome 82, che verrà rilasciato ad aprile 2020, il browser avviserà dei download di contenuto misto di eseguibili.
- Chrome 83 sarà rilasciato a giugno 2020 e inaugurerà il blocco degli eseguibili e gli avvisi su archivi (.zip) e immagini disco (.iso) di contenuti misti.
- In Chrome 84, che verrà rilasciato ad agosto 2020, ci sarà il blocco di eseguibili, archivi e immagini disco di questo tipo; inoltre, Chrome avviserà di tutti gli altri download di contenuti misti, ad eccezione dei formati immagine, audio, video e testo.
- Chrome 85 sarà rilasciato a settembre 2020 e avviserà in caso di download di contenuti misti di immagini, audio, video e testo, mentre bloccherà tutti gli altri download di contenuti misti.
- A partire da Chrome 86 (rilasciato a ottobre 2020), il browser bloccherà tutti i download di contenuti misti.
Chrome, ha informato ancora Google, ritarderà questa timeline di implementazione su Android e iOS di una versione, avviando gli avvisi in Chrome 83. Google sottolinea che le piattaforme mobili presentano una migliore protezione nativa contro i file nocivi e questo delay darà agli sviluppatori un vantaggio nell’aggiornamento dei siti prima di provocare un impatto sugli utenti dei dispositivi mobili.
Gli sviluppatori, spiega Google, possono evitare che agli utenti vedano gli avvisi assicurandosi che i download utilizzino solo Https. Nell’attuale versione di Chrome Canary o in Chrome 81 una volta rilasciato, gli sviluppatori possono attivare un warning su tutti i download di contenuti misti, per effettuare i test, abilitando il flag “Treat risky downloads over insecure connections as active mixed content” in chrome://flags/#treat-unsafe-downloads-as-active-content.
I clienti enterprise e education possono disabilitare il blocco in base al sito tramite la policy già esistente InsecureContentAllowedForUrls, aggiungendo un pattern corrispondente alla pagina che richiede il download.
In futuro, Google prevede di limitare ulteriormente i download non sicuri in Chrome. La società di Mountain View pertanto incoraggia gli sviluppatori a migrare completamente su Https per evitare restrizioni future e proteggere del tutto i propri utenti.