O Google afirmou que o Chrome está bloqueando downloads de conteúdo misto para evitar ataques MiTM. Confira os detalhes dessa mudança.
O Google está avançando com seu plano de bloquear downloads de conteúdo misto de sites para proteger os usuários de ataques do tipo man-in-the-middle (MiTM).
Desde 2019 o Google estava tentando bloquear downloads de conteúdo misto, que são arquivos entregues por uma conexão HTTP insegura quando são iniciados a partir de sites HTTPS.
Em um anúncio publicado recentemente, o Google esboçou seu plano de implantar gradualmente esse recurso no Chrome, exibindo primeiro avisos do console para o eventual bloqueio de todos os arquivos baixados de conteúdo misto.
Chrome está bloqueando downloads de conteúdo misto para evitar ataques MiTM
O Google afirma que eles estão bloqueando esses tipos de downloads, pois representam um risco para a segurança e a privacidade de um usuário, uma vez que podem ser trocados ou visualizados em ataques do tipo man-in-the-middle (MiTM).
Em um post no seu blog, o Google afirmou que:
“Arquivos baixados de forma insegura são um risco para a segurança e a privacidade dos usuários. Por exemplo, os programas baixados de forma insegura podem ser trocados por malware por invasores, e os bisbilhoteiros podem ler extratos bancários baixados de forma insegura. Para lidar com esses riscos, planejamos eventualmente remover o suporte a downloads inseguros no Chrome.”
Esse recurso será implementado gradualmente nas seguintes próximas versões do Google Chrome:
- Chrome 81 (lançado em março de 2020): o Chrome imprimirá uma mensagem do console avisando sobre todos os downloads de conteúdo misto.
- Chrome 82 (lançado em abril de 2020): o Chrome avisa sobre downloads de conteúdo misto de executáveis (por exemplo, .exe).
- Chrome 83 (lançado em junho de 2020): o Chrome bloqueia os executáveis de conteúdo misto, mas avisa sobre arquivos de conteúdo misto (.zip) e imagens de disco (.iso).
- Chrome 84 (lançado em agosto de 2020): O Chrome bloqueia executáveis, arquivos e imagens de disco de conteúdo misto, mas avisa sobre todos os outros downloads de conteúdo misto, exceto os formatos de imagem, áudio, vídeo e texto.
- Chrome 85 (lançado em setembro de 2020): o Chrome avisa sobre downloads de conteúdo misto de imagens, áudio, vídeo e texto e bloqueia todos os outros downloads de conteúdo misto
- Chrome 86 (lançado em outubro de 2020): o Chrome bloqueará todos os downloads de conteúdo misto.
Isso é ilustrado na imagem a seguir:
Para usuários de Android e iOS, o lançamento será adiado por uma versão com avisos iniciados no Chrome 83, pois os dispositivos móveis têm uma melhor proteção nativa contra os arquivos baixados.
O Google afirma ainda que planeja restringir ainda mais downloads inseguros no futuro, o que provavelmente significa que eles bloquearão todos os downloads de sites inseguros, independentemente do tipo de site em que o download foi iniciado.
Testando o recurso agora
Para usuários que desejam testar esse recurso, o Google possui um sinalizador experimental intitulado “Treat risky downloads over insecure connections as active mixed content” (Tratar downloads arriscados em conexões não seguras como conteúdo misto ativo) que pode ser ativado no Chrome 80 e versões posteriores.
Uma vez ativado, se você tentar iniciar um download entregue por uma conexão HTTP insegura quando eles forem iniciados em sites HTTPS, você verá um aviso informando que “[executável] .exe não pode ser baixado com segurança”.
Você pode testar esse recurso acessa essa página de prova de conceito.
- Como instalar o navegador Google Chrome no Arch com Git
- Chrome 131 lançado com várias melhorias
- Como ativar a aceleração por hardware no Chrome/Chromium
- Como instalar o Google Chrome no Fedora e derivados