Hlavní navigace

Chrome plánuje blokovat stahování některých odkazovaných souborů po HTTP

Sdílet

Petr Krčmář
Chrome HTTPs

Google chce blokovat stahování některých typů souborů po HTTP na stránkách, které používají HTTPS. V seznamu problémových přípon jsou EXE, DMG, CRX, ZIP, GZIP, BZIP, TAR, RAR a 7Z. Pokud bude webová stránka načtená po HTTPS odkazovat na soubor s některou ze zmíněných přípon na HTTP serveru, soubor nebude stažen.

Google tvrdí, že nezvažuje nad úplnou blokací veškerého obsahu po HTTP, protože prohlížeč už teď před touto činností varuje v adresním řádku. Tam se uživatel dočte, že spojení je nezabezpečené. Nové opatření má blokovat nezabezpečené stahování ze stránek, které jsou zabezpečené pomocí HTTPS a uživatel proto nerozezná, že samotný soubor je stažen bez zabezpečení a může být během přenosu pozměněn.

Právě spustitelné či komprimované soubory jsou často zneužívány k šíření malware a už bylo prokázáno, že se na úrovni sítě do komunikace na některých místech světa zasahuje a malware se takto šíří. Při použití HTTPS pro zobrazení stránky tak sice není možné změnit přímo odkazy, ale pokud pak bude instalační soubor stahován po HTTP, není složité zaměnit jeho obsah, přestože uživatel má stále dojem, že jej stahuje z původního úložiště.

Prohlížeč se tak bude k odkazovanému obsahu chovat jako k mixed-content v tuto chvíli. Mozilla už deklarovala, že se k této aktivitě chce s Firefoxem přidat. Blokace HTTP odkazů je prý v souladu s kroky, které už vývojáři ve snaze ochránit uživatele před nezabezpečeným obsahem podnikli.