Фото: www.bleepingcomputer.comGoogle в рамках усиления политики безопасности в Chrome полностью перейдет на использование протокола HTTPS при загрузке файлов. В Chrome 86 в октябре этого года загрузку нельзя будет осуществлять по протоколу HTTP. Это будет возможно только во внутренних сетях, которые необходимо будет настроить по специальной инструкции.
Уже с Chrome 81 в марте пользователям начнут поступать уведомления о загрузке «сомнительного контента» при попытке скачать файл с незащищенного сервера. В Chrome 82 (в апреле 2020 года) Chrome будет предупреждать о загрузке исполняемых файлов смешанного содержимого (например, .exe). С июня система будет принудительно блокировать загрузку файлов с расширением .exe. Тогда же начнут выводиться сообщения о «сомнительности» ZIP-архивов и ISO-образов.
Планы по ограничениям затронут Windows, macOS, Chrome OS и Linux. На Android и iOS они начнут появляться с версии Chrome 83.
Кстати, для пользователей, которые уже хотят протестировать эту функцию, у Google есть экспериментальный флаг под названием «Рассматривать рискованные загрузки по незащищенным соединениям как активный смешанный контент». Его можно включить в Chrome 80 и более поздних версиях.
Как отмечают в Google, «смешанные загрузки контента» представляют собой угрозу безопасности и конфиденциальности пользователей. Так, загруженные программы могут быть заменены злоумышленниками на вредоносное ПО, а перехватчики могут читать небезопасно загруженные банковские выписки пользователей.
Компания призвала разработчиков полностью перейти на HTTPS, чтобы избежать будущих ограничений и полностью защитить своих пользователей.
См. также: «Mozilla и Google удалили около 200 потенциально вредоносных расширений для Firefox и Chrome»Ранее Google начал тестировать функцию, которая будет отображать поисковый запрос в адресной строке Chrome, а не URL реальной страницы при выполнении поиска. Эта экспериментальная функция называется «Query in Omnibox» и доступна в виде флага, начиная с версии Chrome 71, но по умолчанию отключена. В ходе теста функция включается и позволяет отображать ключевое слово поиска в адресной строке браузера, а не URL.
См. также: «Пользуетесь Google Chrome? Значит Google собирает ваши данные через X-client-data»
zzzzzzzzzzzz
Судя по таблице, они вообще загрузку любых файлов отпилить собираются…
Нефиг пользователю все эти небезопасные PNG-шки с MP3-шками качать!
Не могу понять только, почему они хотят разные типы содержимого постепенно в разных версиях отключать? В чём принципиальные отличия разных типов, и почему тогда уж не отключить все сразу?
Хотя и вообще не очень понимаю вот это желание запихнуть HTTPS не только туда, где он действительно нужен, но и вообще везде, включая передачу аудио, видео и т.п.
Goron_Dekar
Это же очень удобно, когда появляется возможность заблокировать любой сайт просто принудив по суду отозвать сертификат.
Areso
Наш ответ — самоподписанные сайты :)
lostpassword
А самоподписанные сертификаты Хром тоже заблокирует — они недоверенные же. И проверять валидность будет в интернете по базам Гугла, чтобы на компе нельзя было сертификат в доверенные добавить.
Всё для Вашей безопасности!
vasfed
Это только пока хром доверяет системным корневым сертификатам, а ведь если начнется массовая история вида «чтобы смотреть этот сайт — установите сертификат» (который заодно позволяет MITM), придется юзеров защищать уже от системного хранилища сертификатов, со всеми вытекающими плюшками
Alexey2005
Через Gmail они тоже запретили отправлять всё, что только можно. Иногда так раздражает, когда нужно человеку отправить собранный бинарник, а у него это уродское мыло от Google, и даже в архиве ни хрена не проходит, якобы «для безопасности». И ладно бы только бинарники, но там даже скрипты (bat, vb/vbs) режутся. Мало того, документы и справочники в формате CHM оно тоже зачем-то прибивает.
timoteo_cirkla
Провёл эксперимент. Отправил батник с гмыла на яндекс, прикрепив его из гуглодиска. Чистый батник, не в архиве. Отправилось. На яндексе в спам письмо не попало. Отправил батник с яндекса на гмыло, прикрепив его с яндекс.диска. И снова чистый батник и снова ничего не попало в спам. Так что это скорее сделано ради того, чтобы люди пользовались их облаком