Em abril de 2019, surgiu a informação sobre uma proposta que o Google fez para outros fabricantes de navegadores. O plano, na época, era que os navegadores bloqueassem os downloads de arquivos que ocorrem via HTTP, quando o usuário iniciou o download de um site carregado por HTTPS. Agora, o Google anunciou que estava formalmente avançando com a proposta do ano passado e faria alterações no navegador Chrome daqui para frente. Assim, a ideia do Google é que no Chrome 83 passe a bloquear downloads de arquivos HTTP por padrão.
Mas o que exatamente o Google está bloqueando?
De acordo com um cronograma de lançamento que o Google publicou, a partir do Chrome 83, que será lançado em junho, o Chrome começará a bloquear “downloads arriscados”.
O Google não proibirá todos os downloads HTTP, apenas alguns.
A fabricante de navegadores disse no ano passado que não pretendia bloquear downloads HTTP iniciados em sites HTTP. É que o Chrome já alerta os usuários sobre a baixa segurança do site por meio do indicador “Não Seguro” na barra de URL.
O plano é bloquear downloads inseguros em sites que parecem seguros, entendido? Estes são carregados via HTTPS, porém onde os downloads, não. Eles são carregados via HTTP.
E por qual razão o Google vai bloquear downloads de arquivos HTTP no Chrome 83?
O Google disse que a presença do HTTPS no URL do site estava levando os usuários a pensar que o download também era via HTTPS. No entanto, em alguns casos não era. São estes casos que o Google quer resolver.
A nova mudança no comportamento do Chrome não será aplicada de repente. O Google publicou um processo de seis etapas durante o qual banirá lentamente downloads de HTTP em sites HTTPS:
- Chrome 81 (março de 2020): uma mensagem avisará sobre todos os downloads de conteúdo misto;
- Chrome 82 (abril de 2020): Chrome avisa sobre downloads de conteúdo misto de executáveis (por exemplo, .exe);
- No Chrome 83 (junho de 2020): Chrome bloqueará os executáveis de conteúdo misto. O Chrome avisa sobre arquivos de conteúdo misto (.zip) e imagens de disco (.iso);
- Chrome 84 (agosto de 2020): Chrome bloqueará executáveis de conteúdo misto, arquivos e imagens de disco. O Chrome avisa sobre todos os outros downloads de conteúdo misto, exceto os formatos de imagem, áudio, vídeo e texto;
- Chrome 85 (setembro de 2020): Chrome avisa sobre downloads de conteúdo misto de imagens, áudio, vídeo e texto. O Chrome bloqueará todos os outros downloads de conteúdo misto;
- Chrome 86 (outubro de 2020): Chrome bloqueará todos os downloads de conteúdo misto.
Toda regra tem exceções
Entretanto, o Google também entende que, em algumas condições controladas, como intranets, os downloads HTTP podem ter um risco menor. Para isso, o Google afirmou que existe uma política do Google Chrome (InsecureContentAllowedForUrls) que pode permitir downloads HTTP em ambientes controlados.
Os webmasters que desejam testar se seus sites estão em conformidade com essa nova política podem fazê-lo agora no Google Chrome Canary, a versão de teste do Chrome. Para fazer isso, eles precisam ativar o seguinte sinalizador do Chrome:
chrome://flags/#treat-unsafe-downloads-as-active-content
Do mesmo modo, no ano passado, a Mozilla também manifestou interesse em implementar um bloqueio semelhante. No entanto, o fabricante do Firefox não publicou nenhum plano adicional sobre o assunto.
Fonte: ZDNet