گوگل اعلام کرد که مرورگر کروم در تلاش برای بهبود امنیت کاربران خود، بهزودی مسدودسازی بارگیریهای ناامن را در صفحات HTTPS آغاز خواهد کرد. انتظار میرود که این برنامهی گوگل در پاییز سال جاری با انتشار کروم ۸۶ تکمیل شود.
این اطلاعیه تنها چند روز پس از انتشار کروم ۸۰ منتشر شد که بهطور پیشفرض منابع صوتی و تصویری را در صورت عدم امکان ارتقاء به HTTPS بهصورت خودکار، مسدود میکند. همین اتفاق در مورد فایلهای تصویری در کروم ۸۱ اتفاق خواهد افتاد که انتظار میرود این نسخهی کروم در ماه مارس سال ۲۰۲۰ میلادی منتشر شود.
گوگل در درازمدت قصد دارد که همهی منابع فرعی ناامن را در صفحات امن مسدود کند، زیرا برای کاربران خطر ایجاد میکنند. فایلهایی که بهصورت ناامن بارگیری میشوند، میتوانند توسط مهاجمان با بدافزار جایگزین شوند. گوگل بیان میکند که برای مقابله با این خطرات، قصد دارد پشتیبانی از بارگیریهای ناامن را در کروم حذف کند.
در مرحلهی اول، تمرکز روی بارگیریهای ناامنی است که در صفحات امن آغاز میشوند و گام اول نمایش هشدار است. محدودیتهای بارگیری محتوای ترکیبی ابتدا در همهی بسترهای دسکتاپ اعمال خواهد شد. ابتدا فایلهای اجرایی با نمایش هشدار دربارهی آنها توسط کروم ۸۲ تحت تأثیر قرار خواهند گرفت، و کروم ۸۳ آنها را مسدود میکند. مورد بعدی فایلهای ایمیج حافظه و بایگانیها هستند (هشدار در کروم ۸۳ و مسدودسازی در کروم ۸۴)، پس از آن نوبت سایر فایلهای ناامن مانند اسناد PDF و ورد (هشدار در کروم ۸۴ و مسدودسازی در کروم ۸۵) خواهد بود.
کروم ۸۵ در مورد بارگیری محتوای ترکیبی از تصاویر، صدا، ویدئو و متن هشدار خواهد داد و بارگیری همهی محتواهای ترکیبی دیگر را مسدود خواهد کرد، درحالی که کروم ۸۶ که انتظار میرود در ما اکتبر سال ۲۰۲۰ میلادی منتشر شود، بهطور کامل بارگیری همهی محتواهای ترکیبی را مسدود خواهد کرد.
گوگل بیان میکند که انتشار نسخهی اندروید و iOS را به تأخیر خواهد انداخت و نمایش هشدارها را در کروم ۸۳ آغاز خواهد کرد. بسترهای تلفن همراه محافظت بومی بهتری در برابر فایلهای مخرب دارند و این تأخیر به توسعهدهندگان فرصت میدهد تا وبگاههای خود را قبل از آنکه کاربران تلفن همراه را تحت تأثیر قرار دهند، بهروزرسانی کنند.
توسعهدهندگان برای اینکه به کاربران خود اطمینان دهد که هرگز یک هشدار بارگیری نمیبینند، باید اطمینان حاصل کنند که همهی فایلها تنها در HTTPS استفاده میشوند. برای اهداف آزمایشی، توسعهدهندگان میتوانند یک هشدار را در بارگیری محتواهای ترکیبی در نسخهی فعلی کروم قناری یا کروم ۸۱ فعال کنند. برای انجام این کار، آنها باید پرچم «بارگیریهای خطرناک در اتصالات ناامن بهعنوان محتوای ترکیبی فعال» را در Chrome://flags/#treat-unsafe-downloads-as-active-content فعال کنند.
گوگل با اضافه کردن یک الگو که با صفحهای که بارگیری ناامن را درخواست میکند، مطابقت دارد، یک گزینه برای غیرفعال کردن مسدودسازی در وبگاه را در اختیار سازمانها و مؤسسات آموزشی قرار میدهد. گوگل نتیجهگیری میکند که انتظار دارد در آینده، بارگیریهای ناامن بیشتری در کروم محدود شود و توسعهدهندگان را تشویق میکند تا بهطور کامل به HTTPS مهاجرت کنند تا از محدودیتهای بعدی جلوگیری کنند و بهطور کامل از کاربران خود محافظت کنند.
