Google planea bloquear todas las descargas inseguras en las próximas versiones del navegador Google Chrome de la compañía. Las descargas inseguras, según Google, son descargas que se originan desde sitios web HTTPS que no se sirven a través de HTTPS. La decisión no afectará a los sitios a los que todavía se accede a través de HTTP.
El cambio es el siguiente paso en el plan de Google para bloquear «todos los subrecursos inseguros en páginas seguras» que anunció el año pasado. En aquel entonces, Google declaró que el contenido mixto, otro término para contenido inseguro en sitios web seguros, «amenaza la privacidad y la seguridad de los usuarios». ¿La razón? Los atacantes podrían modificar el contenido inseguro, p. manipulando una imagen mixta de un gráfico de acciones para inducir a error a los inversores «o inyectando» una cookie de seguimiento en una carga de recursos mixta».
Los archivos descargados de forma insegura son un riesgo para la seguridad y la privacidad de los usuarios. Por ejemplo, los atacantes pueden intercambiar programas descargados de forma insegura por malware. Los espías pueden leer los extractos bancarios descargados de forma insegura de los usuarios. Para abordar estos riesgos, planeamos eliminar eventualmente el soporte para descargas inseguras en Chrome.
Así se producirá el bloqueo de descargas inseguras en Chrome
Google introducirá el cambio gradualmente a partir de Chrome 81 en el escritorio. Primero, el navegador solo mostrará advertencias en la consola del desarrollador para llamar la atención de los desarrolladores que trabajan en sitios con descargas inseguras.
En Chrome 82, se mostrará una advertencia si los archivos ejecutables se descargan a través de HTTP. Sin embargo, el bloqueo no se aplica en este momento. Los archivos ejecutables como .exe o .apk entran en esa categoría.
A partir de Chrome 83, el navegador bloqueará directamente las descargas ejecutables inseguras. Además, mostrará una advertencia si los archivos se descargan a través de HTTP.
Luego, en Chrome 84, se bloquean las descargas ejecutables inseguras y las descargas de archivos. Además, se muestra una advertencia para «todos los demás tipos no seguros», como pdf o documentos.
En Chrome 85, estos tipos no seguros también están bloqueados y se muestran advertencias para archivos multimedia y de texto.
Finalmente, en Chrome 86, todas las descargas inseguras se bloquean en el navegador.
Bloqueo de descargas inseguras en Chrome para Android tardará un poco
Google retrasará el lanzamiento de las versiones de Chrome para Android e iOS para una versión. Esto significa que las advertencias para descargas inseguras de archivos ejecutables se muestran en Chrome 83 en esos sistemas y no en Chrome 82.
Los administradores pueden usar el indicador chrome: //flags/#treat-unsafe-downloads-as-active-content. ¿Para qué? Para no permitir la descarga de archivos inseguros de inmediato cuando se lanza Chrome 81 (así como en las versiones de desarrollo del navegador web).
Todo lo que se necesitas es habilitar la bandera y reiniciar el navegador para hacerlo.
Los clientes empresariales y educativos pueden anular el bloqueo por sitio utilizando la política InsecureContentAllowedForUrls.
Ahora tú: ¿Cuál es tu opinión sobre el cambio? Deja tus comentarios
:)