Chrome blockt ab dem Sommer unsichere HTTP-Downloads

Keine HTTP-Downloads von HTTPS-Seiten mehr mit Chrome

Google hat gestern seine Pläne vorgestellt, künftig Downloads mit Chrome über nicht verschlüsselte HTTP-Verbindungen einzuschränken bzw. zu blockieren.

Maßnahmen gegen HTTP-Downloads von HTTPS-Websites hatte Google schon im April 2019 angekündigt. Der Konzern unterstellt, dass Besucher einer HTTPS-Website davon ausgehen, dass auch von dort abgerufene Downloads über eine verschlüsselte Verbindung übertragen werden. Der nun veröffentlichte Plan sieht vor, die Chrome-User über einen längeren Zeitraum hinweg an die Änderungen heranzuführen, indem die Einschränkungen für bestimmte Arten von Downloads schrittweise eingeführt werden.

Die Roadmap für Warnungen und Blockaden

  • Zunächst zeigt der Browser nur eine Warnung zu unverschlüsselten Downloads in seiner Konsole an. Diese erste Änderung gilt ab dem kommenden Release Chrome 81. Nach dem Erscheinen von Chrome 82 sehen die Benutzer erstmals eine Warnung, allerdings nur, wenn es sich um ausführbare Dateien handelt. Diese werden dann Ab Chrome 83 werden solche Dateien dann tatsächlich blockiert.
  • Außerdem werden mit Chrome 83 Warnungen zu Archiven und Image-Dateien eingeführt. Diese Dateitypen werden nach dem Update auf Chrome 84 auch nicht mehr herunterladen.
  • Das Update auf Chrome 84 wird Google auch dafür nutzen, um Warnungen vor den Downloads weiterer Dateitypen auszugeben, beispielsweise PDF und DOCX.
  • Wirklich geblockt werden diese ab Chrome 85, während dann parallel auch Warnungen zu Bild-, Audio-, Video- und Textdateien hinzu kommen.
  • Sämtliche HTTP-Downloads von verschlüsselten Websites sperrt Chrome dann schließlich mit der Version 86, die aktuell für den Oktober 2020 geplant ist.

Google weiß aber auch, dass in bestimmten Umgebungen Downloads per HTTP nicht so risikoreich sind. In solchen Umgebungen bietet der Browser als Option die Richtlinie „InsecureContentAllowedForUrls” an, die HTTP-Downloads in kontrollierten Umgebungen wieder freischaltet.

Arbeit für die Admins

Daher fordert Google Webseitenbetreiber auch schon jetzt auf, ihre Internetangebote für die neuen Regeln fit zu machen. Durch setzen des Chrome-Flags „#treat-unsafe-downloads-as-active-content“ können Admins und Entwickler ab sofort mit der Canary-Version des Browsers testen, ob ihre Downloads schon den neuen Regeln genügen oder ob sie jetzt nachgearbeitet werden müssen.

Auch Firefox-Hersteller Mozilla zeigte schon im letztem Jahr Interesse an Googles Vorschlägen. Allerdings von den Firefox-Entwicklern gibt es bisher noch keine Roadmap für die Umsetzung.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Browser, Internet, Programmierung, Sicherheit, Tipps und Tricks abgelegt und mit , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.