Chrome без загрузок по HTTP
Компания Google внедрит в браузер Chrome функцию полной блокировки любых загрузок с сайтов по незащищенным HTTP-соединениям. Нововведение будет внедряться постепенно, от версии к версии, но в октябре 2020 г. с выходом Chrome 86 оно окончательно вступит в силу.
Изменения коснутся не только небезопасных HTTP-сайтов, еще не успевших перейти на протокол HTTPS, но и тех, которые сделали это частично. Другими словами, если HTTPS-сайты будут передавать файлы по устаревшему протоколу HTTP, то они тоже попадут в «черный список».
В 2019 г., пишет ZDNet, Mozilla выражала заинтересованность в интеграции схожей системы блокировки в свой браузер Firefox. Тем не менее, на момент публикации материла сроки появления в этом браузере подобных ограничений установлены не были.
HTTPS (Hypertext Transport Protocol Secure) не является полноценным протоколом. Это расширенная версия обычного HTTP, обеспечивающая безопасность и конфиденциальность при обмене информацией между сайтом и устройством пользователя за счет поддержки шифрования по протоколам SSL и TLS.
Поэтапная реализация
Google начнет внедрять блокировку в марте 2020 г. с выходом Chrome 81 – браузер станет показывать предупреждения о загрузке любого «сомнительного» контента с незащищенных сайтов. В июне 2020 г. выйдет Chrome 83, в котором будет запрещена загрузка исполняемых файлов (.exe, .apk и др.).
В Chrome 84 (август 2020 г.) ограничения распространятся на различные архивы, включая .zip, .rar, .iso и т. д., а в сентябре 2020 г. когда выйдет Chrome 85, к ним присоединятся другие потенциально небезопасные файлы – .pdf, .docx и др. Наконец, в Chrome 86 блокировка затронет изображения, аудио, видео и текстовые файлы, то есть Google заблокирует все HTTP-закачки.
Google порекомендовала владельцам сайтов заблаговременно проверить их совместимость с новыми требованиями. Для этого необходимо скачать тестовую версию ее браузера (Chrome Canary) и активировать флаг «chrome://flags/#treat-unsafe-downloads-as-active-content».
Новый виток борьбы
Блокировка «небезопасного» контента, передаваемого через HTTPS стала очередным этапом борьбы Google с этим протоколом. К примеру, в июле 2018 г. браузер Chrome, обновившись до версии 68, начал помечать HTTP-страницы как потенциально опасные.
Метки стали появляться в адресной строке браузера при переходе на HTTP-страницу. В дальнейшем при открытии таких сайтов Chrome начал выдавать полнооконное предупреждение об опасностях, таящихся в них. Отключить предупреждения в адресной строке Chrome и других браузеров на его основе можно при помощи флага «chrome://flags/#enable-mark-http-as».
Меры, к которым прибегает Google в стремлении перевести весь интернет на HTTPS, приносят определенные поды. Так, по состоянию на январь 2018 г. 83% сайтов из списка Топ-100 использовали данный протокол по умолчанию, и 76% контента, просматриваемого в Chrome, было защищенным (статистика Google). К октябрю 2019 г. этот показатель вырос до 90%.
Google против устаревших протоколов
Вместе с HTTP Google стремится избавиться и от другого некогда востребованного протокола – FTP (File Transfer Protocol). Постепенный отказ от него она начала в феврале 2020 г. с релизом Chrome 80, но предупредила об этом еще в августе 2019 г.
Отказ Google от поддержки FTP в Chrome продиктован двумя основными факторами. Для начала, сам по себе этот протокол небезопасен по причине отсутствия шифрования передаваемой информации, что могут использовать в своих целях киберпреступники. Второй фактор – околонулевой уровень востребованности данной технологии: по данным Google, протоколом пользуются лишь 0,1% пользователей.
Из второго фактора следует нежелание Google реализовывать в Chrome и Chromium поддержку более современного протокола – FTPS (FPS over SSL, по аналогии с HTTPS), дополненного поддержкой шифрования трафика. Google не станет добавлять в свой браузер поддержку невостребованных разработок.
Полное удаление частей исходного кода браузера, отвечающих за работу с FTP, Google планирует выполнить в браузере Chrome 82, который выйдет в апреле 2020 г.
FTP был разработан в 1971 г. за 21 год до релиза HTTP. В отличие от последнего, он изначально создавался для передачи файлов и работы с файловой системой сервера – пользователю позволялось не только закачивать файлы на сервер, но также переименовывать и удалять их, перемещать между папками и т.д.