Google Chrome gaat riskante downloads automatisch blokkeren

Google Chrome zal vanaf versie 83 downloads die via HTTP verlopen automatisch blokkeren, wanneer de gebruiker de download vanaf een HTTPS-website heeft gestart.

“Deze stap volgt een plan dat we vorig jaar aankondigden om alle onveilige subbronnen op beveiligde pagina’s te blokkeren”, schrijft het Chromium-team in een blogpost.

Zogenaamde mixed-content downloads vormen volgens Google een risico voor de veiligheid en privacy van gebruikers. Hoewel de download wordt gestart vanaf een beveiligde HTTPS-pagina, is de download zelf niet versleuteld. Daardoor kan een bestand potentieel door een aanvaller worden ingekeken of verwisseld door malware.

Google richt zich alleen op het blokkeren van HTTP-downloads vanaf HTTPS-pagina’s, omdat voor HTTP-downloads vanaf HTTP-pagina’s vandaag al in de browser duidelijk wordt gewaarschuwd voor het onveilige karakter.

Geleidelijke uitrol

De beperkingen op mixed-content downloads worden geleidelijk aan uitgerold vanaf Chrome 81, dat in maart verschijnt. In die versie wordt alleen een waarschuwing in de console getoond bij een onveilige download.

Vanaf Chrome 83, dat in juni verschijnt, worden de eerste mixed-content downloads geblokkeerd, te beginnen met exe-bestanden. In de versies daarna volgen ook archiefbestanden, documenten, afbeeldingen en video. Vanaf Chrome 86, gepland voor oktober 2020, worden alle mixed-content downloads door de browser geblokkeerd.

Beeld: Google

Bovenstaand schema is de planning voor de desktopversie van Chrome. De mobiele versie voor Android en iOS zal dezelfde stappen doorlopen met één versie vertraging.

Gecontroleerde omgevingen

Webmasters die willen weten of hun website strookt met het nieuwe beleid, kunnen dat nu reeds testen in de Canary-versie van Google Chrome. Daarvoor moeten ze de volgende Chrome-flag inschakelen:

chrome://flags/#treat-unsafe-downloads-as-active-content

Tot slot biedt Google voor gecontroleerde omgevingen, zoals een intranet, een beleid (InsecureContentAllowedForUrls) aan om mixed-content downloads toch nog toe te laten in dergelijke situaties.