De tempos em tempos a equipe da Google lança mudanças para aumentar a segurança em sua plataforma. Recentemente, a equipe anunciou um plano de bloqueio de downloads no Google Chrome em websites com protocolo HTTP.
Essa mudança pode ser uma preocupação a mais para as empresas que não estão investindo em segurança na web. Contudo, dará mais proteção aos usuários, evitando o compartilhamento de arquivos infectados com malware.
Por que bloquear downloads em HTTP no Google Chrome?
Já faz algum tempo que o Google Chrome e outros browsers estão mostrando a informação “não seguro” em websites sem o protocolo HTTPS. Essa foi uma maneira encontrada de alertar os usuários sobre a vulnerabilidade das páginas para que eles entendessem que os canais não eram seguros o suficiente para compartilhar dados pessoais e outras informações críticas.
Contudo, a empresa Google entendeu que a prática não era mais suficiente. Alguns websites instalaram o certificado SSL para utilizar o protocolo HTTPS, mas estavam disponibilizando arquivos para downloads via HTTP.
Isso gerou questionamentos: e se hackers estiverem compartilhando arquivos com malware via esses canais? A prática era possível e muito preocupante.
Em termos técnicos isso é denominado de conteúdo misto e muitos usuários poderiam cair na armadilha por não perceberem a origem do download. Logo, a prática foi considerada um “buraco na segurança HTTPS” e a empresa decidiu “cortar o mal pela raiz” ao bloquear downloads HTTP em sites HTTPS no Google Chrome.
Afinal, o que será bloqueado no Google Chrome?
Segundo o anúncio da empresa, o navegador Chrome 83 (que será lançado em junho deste ano) começará a bloquear arquivos que podem apresentar riscos aos usuários. Isso inclui documentos como .exe e.apk. Mais tarde a intenção é incluir também outros arquivos até bloquear totalmente todos os tipos de downloads via HTTP.
Sendo assim, até o final do ano os usuários que atualizarem o Google Chrome para a nova versão não terão condições de baixar arquivos hospedados em HTTP, mesmo que eles sejam compartilhados via links em HTTPS.
Apesar de o bloqueio iniciar apenas na versão Chrome 83, o navegador vai educar os usuários antecipadamente. Por isso, ele emitirá mensagens de alertas sobre conteúdo misto a partir da versão Chrome 81.
Por que a Google está fazendo essa alteração?
Downloads inseguros são um risco à segurança e à privacidade dos usuários. Por exemplo, downloads não seguros podem ser trocados por malware por invasores. E bisbilhoteiros podem ler extratos bancários baixados de modo não seguro. Para resolver esses riscos, a Google planeja remover eventualmente o suporte para downloads inseguros no Chrome. A Google anunciou que o Chrome garantirá gradualmente que páginas seguras (HTTPS) façam download apenas de arquivos seguros. Em uma série de etapas descritas na seção da linha de tempo, o Chrome começa a bloquear downloads de conteúdo, ou seja, downloads não HTTPS iniciados em páginas seguras. Essa mudança segue um plano que a Google anunciou no ano passado de bloquear todos os sub-recursos inseguros em páginas seguras. Inicialmente, a Google está se concentrando em downloads inseguros iniciados em páginas seguras. Esses casos são preocupantes porque o Chrome não avisa os usuários de que a privacidade e segurança deles estão em risco.
Mesmo com essa medida, ainda não é totalmente seguro realizar downloads em páginas com protocolo HTTPS. "O problema é que o cadeado verde e o certificado não dizem nada sobre o próprio site. Uma página de phishing pode facilmente obter um certificado e criptografar todo o tráfego do usuário.
Em resumo, tudo o que o cadeado verde, exibido ao lado do endereço do site, faz é garantir que ninguém pode espionar os dados inseridos. Entretanto, o endereço ainda pode roubar as credenciais se for um domínio enganoso.
Copyright © 2006 - 2024 mega criações - Desenvolvimento e Soluções em Informática. |