Bắt đầu từ giữa năm 2020, bạn sẽ bị chặn khi tải xuống một số tệp tin nhất định trên Chrome.
Hết lần này đến lần khác, chúng ta đã chứng kiến những gã khổng lồ trong làng trình duyệt đưa ra các quyết định liên quan đến bảo mật có tác động đáng kể đến người dùng cuối nhằm đưa website đi theo hướng an toàn hơn. Lần này là Google, người đã công bố kế hoạch chặn tải xuống từ đường dẫn HTTP trong Google Chrome, trình duyệt phổ biến nhất trên thế giới .
Đây là những gì Google đang thay đổi và tại sao đó là một điều tốt cho web.
Tại sao chặn tải xuống từ đường dẫn HTTP?
Như chúng ta đã biết, Google Chrome và các trình duyệt chính khác hiển thị cảnh báo không phải là Secure khi bạn truy cập trang web không dùng giao thức HTTPS. Bằng cách này, người dùng hàng ngày được thông báo về kết nối không an toàn để họ không trao đổi bất kỳ thông tin quan trọng nào với trang web đó. Điều này đã đóng một vai trò quan trọng để thúc đẩy nhận thức của người dùng và áp dụng HTTPS.
Tuy nhiên, điều đó là không đủ.
Điều gì xảy ra nếu có một trang web có chứng chỉ SSL được cài đặt trên đó, nhưng đang lặng lẽ phục vụ tải xuống tệp của họ qua HTTP? Điều gì sẽ xảy ra nếu tin tặc sử dụng phần mở này để tiêm phần mềm độc hại vào hệ thống của bạn? Đó chắc chắn là một khả năng! Về mặt kỹ thuật, một hỗn hợp nội dung HTTP như vậy trên trang web HTTPS được gọi là nội dung hỗn hợp trên mạng. HTTP. Đó chắc chắn là một lỗ hổng trong bảo mật HTTPS và Google đã quyết định lấp đầy nó bằng cách chặn tải xuống HTTP từ các trang web HTTPS.
Điều gì sẽ bị chặn?
Theo kế hoạch được công bố của Google, Chrome 83 (sẽ được phát hành vào tháng 6 năm 2020) sẽ bắt đầu chặn các loại tệp có nguy cơ cao nhất đối với người dùng. Các loại tệp này bao gồm các tệp thực thi như .exe và .apk. Trong các bản phát hành Chrome tiếp theo, Google sẽ bao gồm các loại tệp khác và cuối cùng, chặn tất cả các loại tệp trong Chrome 86, sẽ được phát hành vào tháng 10 năm 2020. Vì vậy, sau tháng 10 năm 2020 (nếu bạn cập nhật Chrome), bạn sẽ không thể để tải xuống bất kỳ tệp nào đang được phục vụ qua HTTP nếu bạn nhấp vào liên kết tải xuống từ URL HTTPS.
Lưu ý rằng nếu một trang web sử dụng HTTP, người dùng vẫn có thể tải xuống các tệp HTTP. Bản cập nhật này nhắm mục tiêu các trang web HTTPS sử dụng URL tải xuống HTTP, vì trình duyệt đang hiển thị trang web đó là an toàn nhưng tải xuống thực sự không an toàn.
Phương pháp chặn sáu giai đoạn của Google
Mặc dù quá trình chặn sẽ được bắt đầu với việc phát hành Chrome 83 (sẽ được phát hành vào tháng 6 năm 2020), trước tiên Google muốn giáo dục người dùng và cũng dành thời gian cho chủ sở hữu trang web xóa nội dung hỗn hợp khỏi trang web của họ. Đó là lý do Chrome 81 (sẽ được phát hành vào tháng 3 năm 2020) sẽ cung cấp thông báo cảnh báo bảng điều khiển về tất cả các nội dung tải xuống hỗn hợp.
Quá trình này, bắt đầu vào tháng 3, đã được Google chia thành sáu giai đoạn. Đây là phác thảo được Google đưa ra cho các nền tảng máy tính để bàn (Windows, macOS, Chrome OS và Linux):
- Chrome 81 (sẽ được phát hành vào tháng 3 năm 2020) – Chrome sẽ in một thông báo bảng điều khiển để cảnh báo cho các quản trị web về tất cả các nội dung tải xuống hỗn hợp.
- Chrome 82 (sẽ được phát hành vào tháng 4 năm 2020) – Chrome sẽ bắt đầu cảnh báo người dùng về việc tải xuống nội dung hỗn hợp của các tệp thực thi (.exe, .apk, v.v.) và in cảnh báo bảng điều khiển cho tất cả các loại tệp khác.
- Chrome 83 (sẽ được phát hành vào tháng 6 năm 2020) – Đây là khi giai đoạn chặn sẽ bắt đầu. Chrome sẽ bắt đầu chặn các nội dung thực thi hỗn hợp. Ngoài ra, nó sẽ cảnh báo người dùng về lưu trữ nội dung hỗn hợp (.zip, .iso, v.v.). Thông báo cảnh báo trên bàn điều khiển cho tất cả các loại tệp khác sẽ tiếp tục.
- Chrome 84 (sẽ được phát hành vào tháng 8 năm 2020) – Chrome sẽ mở rộng danh sách chặn của mình sang lưu trữ và hình ảnh đĩa. Trên các loại tệp nội dung hỗn hợp khác như tệp .pdf và .docx, Chrome sẽ hiển thị cảnh báo cho người dùng. Đối với các tệp hình ảnh, âm thanh và video, cảnh báo bảng điều khiển sẽ tiếp tục.
- Chrome 85 (sẽ được phát hành vào tháng 9 năm 2020) – Chrome sẽ chặn tất cả các tệp ngoại trừ các tệp hình ảnh, âm thanh và video. Một thông báo cảnh báo sẽ được hiển thị cho người dùng trước khi tải xuống các tệp này.
- Chrome 86 (sẽ được phát hành vào tháng 10 năm 2020) – Chrome sẽ chặn tất cả nội dung được cung cấp trên HTTP không an toàn khi bạn nhấp vào liên kết tải xuống thông qua trang web HTTPS. Nói cách khác, Chrome sẽ chặn tất cả các nội dung tải xuống hỗn hợp.
Đối với điện thoại di động (Android và iOS), Chrome sẽ trì hoãn việc giới thiệu bằng một bản phát hành. Điều này có nghĩa là nó sẽ bắt đầu hiển thị các cảnh báo trong Chrome 83, thay vì Chrome 82.
Trang web của bạn có nội dung hỗn hợp?
Bản cập nhật Google Chrome này sẽ không chỉ buộc tin tặc phải suy nghĩ lại về chiến lược của họ mà một số trang web hợp pháp cũng sẽ phải có một cái nhìn mới về trang web của họ. Nhiều quản trị viên trang web thậm chí có thể không nhận thức được nội dung hỗn hợp họ có trên trang web của họ. Vâng, chúng tôi đang ở đây để giúp bạn ra ngoài.
Để kiểm tra các liên kết nội dung hỗn hợp / không an toàn trên trang web của bạn, bạn có thể truy cập vào công cụ “Why No Padlock?” và nhận tất cả các liên kết nội dung hỗn hợp trong tầm tay. Khi bạn biết nội dung hỗn hợp nào bạn có trên trang web của mình, bạn có thể di chuyển nội dung đó sang HTTPS để bảo mật trang web của mình.
Mặc dù Google đã nỗ lực rất nhiều để khiến các trang web không an toàn chuyển sang HTTPS và nâng cao nhận thức của người dùng về HTTPS, tôi luôn cảm thấy rằng nội dung hỗn hợp là một khía cạnh cần được giải quyết. Google hiện đã tải xuống các nội dung tải xuống hỗn hợp và điều này chắc chắn sẽ đánh dấu một mốc quan trọng trong việc tăng cường quyền riêng tư và bảo mật trên internet. Chúng tôi hy vọng và hy vọng các trình duyệt khác sẽ làm theo để bảo vệ quyền riêng tư và bảo mật của người dùng.