Google Chrome pour bloquer les téléchargements de fichiers – de .exe à .txt – sur HTTP par défaut cette année. Et nous sommes d’accord avec ça • Technologik

En continuant à laisser tomber le retardateur de flammes sur l’incendie de la benne à ordures qu’est la sécurité Web, Google a déclaré jeudi qu’il empêcherait bientôt les utilisateurs de Chrome de télécharger des fichiers via HTTP non sécurisé, ancien et non chiffré.

“Tous les téléchargements non sécurisés sont néfastes pour la confidentialité et la sécurité”, a déclaré Joe DeBlasio, qui travaille au sein de l’équipe de sécurité de Chrome, dans un communiqué. Fil Twitter. “Un espion peut voir ce qu’un utilisateur télécharge, ou un attaquant actif peut échanger le téléchargement contre un téléchargement malveillant.”

“Nous espérons arrêter tous les téléchargements dangereux, mais Chrome ne dit pas actuellement aux utilisateurs sur les pages HTTPS que leurs téléchargements ne sont pas sécurisés. C’est bizarre! Les utilisateurs s’attendent à ce que ce qu’ils font sur les pages sécurisées soit … eh bien … sécurisé! en bloquant d’abord ces téléchargements. “

Plus précisément, Google s’en prend à contenu mixte, des ressources telles que des fichiers, des images et des scripts qui sont chargés via des connexions HTTP non sécurisées à partir d’une page Web qui a été diffusée via un lien HTTPS sécurisé.

Le contenu constamment non sécurisé – les fichiers servis via HTTP à partir de sites Web HTTP – ne sont pas affectés par ce changement (les utilisateurs verront toujours le badge omnibox “Non sécurisé” dans ce cas); seuls les sites HTTPS perdront la possibilité de fournir des fichiers via HTTP aux utilisateurs de Chrome.

En avril 2020, lorsque Chrome 82 arrivera, les utilisateurs de Chrome verront un avertissement lorsqu’ils essaieront de télécharger des fichiers exécutables (par exemple .exe, .apx) servis via HTTP. Dans Chrome 83, prévu pour juin, les utilisateurs ne pourront pas du tout télécharger ces fichiers. Pendant ce temps, l’avertissement passera à la tentative de téléchargement de fichiers d’archive non sécurisés (par exemple .zip, .iso).

Sur Chrome 84, en août, les fichiers exécutables et les archives non sécurisés sont bloqués par défaut et d’autres types de fichiers mal servis déclencheront des avertissements de téléchargement (par exemple .pdf, .docx).

Et par Chrome 85, sorti en septembre, l’avertissement de contenu mixte se déplacera vers les images, l’audio, la vidéo et le texte (par exemple .png, .mp3), avec le blocage devenant le comportement par défaut pour les autres fichiers. Avec Chrome 86, en octobre 2020, les avertissements auront disparu et Chrome refusera de télécharger tout contenu mixte.

C’est le calendrier de déploiement de Chrome pour les systèmes d’exploitation de bureau (Linux, macOS et Windows). Pour Android et iOS, le calendrier sera retardé d’un cycle de publication.

Femme, à, roses rouges, et, cercueil, à, enterrement, dans, église

RIP FTP? Le protocole de transfert de fichiers est désactivé par défaut dans Chrome 80

LIRE LA SUITE

Lorsque Google a initialement discuté de ses plans pour que Chrome intervienne pour sauver les gens de leur désintérêt pour la sécurité en ligne, la société m’a dit que “les utilisateurs pourront activer un paramètre permettant de désactiver le blocage de contenu mixte sur des sites Web particuliers”.

Google dernier message sur le sujet ne fait cependant aucune mention du grand public: “Les clients entreprises et établissements scolaires peuvent désactiver le blocage site par site via InsecureContentAllowedForUrls en ajoutant un modèle correspondant à la page demandant le téléchargement. “Les fonctionnalités disponibles pour les utilisateurs de Chrome ne sont pas spécifiées.

Mais Technologik comprend que le polloi hoi utilisant Chrome sera autorisé à outrepasser la surveillance de Google. Le blocage des téléchargements mixtes sera géré comme tout autre contenu mixte, de sorte que les utilisateurs pourront cliquer sur l’icône de verrouillage dans l’omnibox du navigateur, puis sélectionner Paramètres du site pour modifier le paramètre «Contenu non sécurisé» sur «Autoriser».

Néanmoins, il est clair que Google s’attend à une rupture du site. Via Twitter, Mark Amery, développeur de logiciels à la startup de biotechnologie Shield Diagnostics, s’est dit préoccupé par les implications pour les développeurs Web.

“L’alerte est bonne, mais le blocage pur et simple me semble mauvais, surtout pour les non exécutables”, écrit-il. “Je ne peux pas créer le HTTPS sur un site que je ne possède pas si je souhaite créer un lien vers un fichier de données qu’il héberge, ce qui signifie que je ne peux tout simplement pas créer d’hyperlien vers une telle ressource.”

DeBlasio a reconnu que les développeurs Web devront réparer leurs sites, même s’il a admis que les invites d’avertissement ne font pas grand-chose car la plupart des gens les ignorent.

“Notre espoir est qu’à mesure que le Web passe au HTTPS, ce ne sera pas un énorme problème”, a-t-il ajouté. a répondu. “Cela dit, une partie énorme et importante du Web est essentiellement du contenu statique qui ne sera jamais mis à jour. Nous ne voulons pas que ce contenu soit perdu. C’est quelque chose auquel nous réfléchissons et essayons de résoudre. Restez à l’écoute. ” ®

Sponsorisé:
Exploiter la valeur des données



Source

A propos admin

Découvrez également

La FTC inflige une amende à Office Depot pour escroquerie par virus

Partager Tweet Partager Partager Partager Impression Email La Federal Trade Commission (FTC) a envoyé 34 …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *