Chrome bloccherà i download da pagine HTTP

Gli sviluppatori di Google Chrome programmano di bloccare il download dei file che potrebbero nascondere malware e altre minacce

Il team di Google ha annunciato che a partire dalla stable release di Chrome 83 i download dei file eseguibili dalle pagine HTTP, come ad esempio i .exe o i .apk, saranno bloccati.

A comunicare la novità è stato Joe DeBlasio, membro del Chrome security team, tramite un articolo pubblicato sul blog ufficiale dell’azienda:

Chrome inizierà a bloccare i download dei file dalle pagine HTTP . Questa scelta si ricollega al blocco dei mixed content che stiamo pianificando da diversi mesi.

I file scaricati da pagine web non protette da un certificato di sicurezza rappresentano un rischio per gli utenti. Tali file infatti possono contenere malware o dei software pensati per eseguire delle operazioni di phishing. Dunque per far fronte a questi rischi prevediamo di rimuovere il supporto ai download non sicuri con il rilascio di Chrome 86.

I “mixed content” sono dei contenuti secondari delle pagina HTTPS, come ad esempio le immagini o altri contenuti multimediali, che vengono caricati tramite connessioni HTTP. Questi file passano quindi per una canale non crittografato che espone l’utente ad una vasto ventaglio di attacchi.

mixed contet

Le tempistiche

mixed contet

Il blocco del download dei mixed content verrà implementato seguendo questa tabella di marcia:

  • Chrome 83 (giugno 2020): il browser bloccherà il download dei file eseguibili (.exe o .apk) presenti nelle pagine HTTP;
  • Chrome 84 (agosto 2020): il blocco si estenderà anche ai file compressi (.zip o .rar) e alle disk image (.iso o .dmg);
  • Chrome 86 (ottobre 2020): tutti i mixed content download verranno bloccati, comprese le immagini ed i video.

Queste tempistiche riguardano la versione Desktop del browser. Nella versione mobile di Chrome, invece, il blocco del download dei mixed content slitterà di una versione. Dunque gli utenti Android e iOS saranno interessanti da tale impostazione a partire da Chrome 84.

Questa novità non dovrebbe comportare particolari problemi per l’utenza consumer, tuttavia per quanto riguarda il comparto business le cose potrebbero essere più complicante. Infatti non è raro che gli applicativi aziendali lavorino tramite semplici connessioni HTTP. Ecco perché gli sviluppatori di Chrome hanno previsto un’impostazione, ovvero la policy InsecureContentAllowedForUrls, che consente di riabilitare il download dei mixed contet su determinati domini web.

Via Google Blog

I Video di HTML.it

Marco Agnoli