Chrome wird ab dem Sommer HTTP-Downloads blockieren

Posted by GSL-Team - 7. Februar 2020 - Browser, News, Sicherheit - No Comments

Die Mehrzahl der Webworker nutzt inzwischen Google’s Browser Chrome als Hauptwerkzeug für ihre Arbeit. Eine Neuerung, die mit Chrome 83 im Juni dieses Jahres realisiert werden soll, könnte dabei Probleme machen:

Das Ende der HTTP-Downloads von HTTPS-Seiten

Google hat gestern seine Pläne konkretisiert, in Zukunft Downloads mit Chrome über nicht verschlüsselte HTTP-Verbindungen einzuschränken und letztlich zu blockieren.

Besonders für Admins und Webworker ergeben sich deshalb ab Chrome 83 konkrete Veränderungen: Mit dem für Juni 2020 angekündigten Release wird Chrome bestimmte HTTP-Downloads nicht mehr durchführen, wenn sie von einer HTTPS-Website aus initiiert werden.

Maßnahmen gegen HTTP-Downloads von HTTPS-Websites hatte Google schon im April 2019 angekündigt. Der Konzern unterstellt, dass Besucher einer HTTPS-Website davon ausgehen, dass auch von dort abgerufene Downloads über eine verschlüsselte Verbindung übertragen werden. Der nun veröffentlichte Plan sieht vor, die Chrome-User über einen längeren Zeitraum hinweg an die Änderungen heranzuführen, indem die Einschränkungen für bestimmte Arten von Downloads schrittweise eingeführt werden.

Die Roadmap dazu

  • Zunächst zeigt der Browser nur eine Warnung zu unverschlüsselten Downloads in seiner Konsole an. Diese erste Änderung gilt ab dem kommenden Release Chrome 81. Nach dem Erscheinen von Chrome 82 sehen die Benutzer erstmals eine Warnung, allerdings nur, wenn es sich um ausführbare Dateien handelt. Diese werden dann Ab Chrome 83 werden solche Dateien dann tatsächlich blockiert.
  • Außerdem werden mit Chrome 83 Warnungen zu Archiven und Image-Dateien eingeführt. Diese Dateitypen werden nach dem Update auf Chrome 84 auch nicht mehr herunterladen.
  • Das Update auf Chrome 84 wird Google auch dafür nutzen, um Warnungen vor den Downloads weiterer Dateitypen auszugeben, beispielsweise PDF und DOCX.
  • Wirklich geblockt werden diese ab Chrome 85, während dann parallel auch Warnungen zu Bild-, Audio-, Video- und Textdateien hinzu kommen.
  • Sämtliche HTTP-Downloads von verschlüsselten Websites sperrt Chrome dann schließlich mit der Version 86, die aktuell für den Oktober 2020 geplant ist.

Google berücksichtigt aber auch, dass in bestimmten Umgebungen Downloads per HTTP weniger risikoreich sind. Für den Fall bietet Chrome die Option die Richtlinie „InsecureContentAllowedForUrls” an, die HTTP-Downloads in kontrollierten Umgebungen freischaltet.

Da kommt Arbeit auf die Webworker zu

Deshalb fordert Google Websitebetreiber auch schon auf, ihre Internetangebote an diese neuen Regeln anzupassen. Mit dem Chrome-Flag „#treat-unsafe-downloads-as-active-content“ können Entwickler ab sofort mit der Canary-Version des Browsers testen, ob ihre Downloads schon den neuen Regeln entsprechen oder ob jetzt nachgearbeitet werden muss.

Auch Mozilla zeigte schon im vergangenen Jahr Interesse an den von Google gemachten Vorschlägen. Allerdings liegen Von den Firefox-Entwicklern gibt es aber noch keine konkreten Pläne, insbesondere keine Roadmap für deren Umsetzung.

No comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kommentarlinks könnten nofollow frei sein.