:

Szerző: Hlács Ferenc

2020. február 11. 11:30

A nem biztonságos letöltésekkel is leszámol a Chrome böngésző

A vállalat a HTTPS oldalakról indított, mezei HTTP-t használó letöltéseket már tavasszal blokkolni kezdi.

Hamarosan blokkolni kezdi biztonsági kockázatot hordozó letöltéseket a Chrome - jelentette be a Google böngészőjének biztonsági csapata. A vállalat az utóbbi hetekben lendületesen gyomlálja a nem biztonságos vagy bosszantó tartalmakat, a cég múlt héten közölte, hogy a felhasználókat különösen zavaró reklámokat nyáron kitiltja a böngészőből. A szoftver ugyancsak múlt héten bemutatkozott, 80-as főverziója az értesítési engedélykérésekre kötött gyeplőt, illetve a HTTP-n betöltődő hangos és videós tartalmakat is elkezdte automatikusan HTTPS-re áthelyezni.

Ez utóbbi a cég ígérete szerint idén a letöltésekre is kiterjed majd: a HTTPS oldalaknál a böngésző hamarosan csak az ugyancsak HTTPS-re támaszkodó fájlletöltéseket engedélyezi. A Chrome várhatóan már tavasszal blokkolni kezdi az úgynevezett "kevert tartalmú" vagyis a HTTPS oldalakról indított, de mezei HTTP-t használó letöltéseket. A lépés nem meglepő, a vállalat egy ideje már világossá tette, hogy szabadulni igyekszik a hasonló tartalmaktól, amelyeknek több lépcsőben teszi ki a szűrét böngészőjéből.

A titkosítatlan kapcsolatokon keresztül letöltött fájlok, ahogy a cég kapcsolódó blogposztjában is kiemeli, számottevő biztonsági kockázatot hordoznak, azokat potenciális támadók észrevétlenül malware-re cserélhetik, valamint érzékeny adatokat tartalmazó letöltéseknél azok tartalmához is hozzáférhetnek. A Chrome jelenleg nem jelzi, ha egy HTTPS-t használó oldalról titkosítás nélküli kapcsolaton indul letöltés - ez különösen nagy probléma, hiszen a felhasználóknak az URL-sávban található lakat hamis biztonságérzetet adhat.

chrpln

Első lépésként tehát a Chrome, egész pontosan a böngésző áprilisban várható, 82-es főverziója ezt a problémát orvosolja majd úgy, hogy fokozatosan elkezdi figyelmeztetni a felhasználókat, ha nem biztonságos letöltést indítanának - később pedig blokkolja is a kevert tartalmú letöltéseket. Az intézkedést a cég több lépcsőben vezeti be, elsőként a legnagyobb biztonsági kockázatot hordozó fájltípusoknál, például parancsfájloknál, a későbbiekben pedig minden típusra kiterjesztve azt. A megoldás fokozatos bevezetésével a cég igyekszik időt adni a fejlesztőknek, hogy ha kell, frissítsék oldalaikat.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

Az első konkrét letöltésblokkolások a vállalat ütemterve szerint a Chrome 83-ban várhatók, az említett parancsfájloknál, a böngésző pedig a 86-os főverziónál már minden ilyen jellegű letöltésre kiterjeszti azokat. A nagyvállalati ügyfeleknek persze igény szerint lesz lehetőségük a blokkolás feloldására, ehhez azonban a kivételezett oldalakat egyenként kell majd beállítaniuk.

Ugyanezt az intézkedést a Google a mobilos platformokon egy főverziónyi csúszással vezeti be, miután a cég szerint Androidon és iOS-en is erősebb natív védelmet élveznek a felhasználók a kártékony fájlok ellen, illetve így további időt tud biztosítani fejlesztőknek, HTTPS lemaradásaik pótlására.

Az üzemeltetői szakmát számos nagyon erős hatás érte az elmúlt években. A történet pedig messze nem csak a cloudról szól, hiszen az on-prem világ is megváltozott.

a címlapról