Chrome si fa poliziotto: dalla versione 82 segnalerà e bloccherà i download "non sicuri"

Chrome si fa poliziotto: dalla versione 82 segnalerà e bloccherà i download "non sicuri"

Nel tentativo di indurre sempre più gli sviluppatori a passare ad HTTPS, Chrome partirà dalla primavera con una nuova politica di segnalazione e successivo blocco di download non-HTTPS in pagine HTTPS

di pubblicata il , alle 18:01 nel canale Software
Chrome
 

Nei giorni scorsi Google ha svelato alcuni importanti dettagli circa la tabella di marcia che scandirà i rilasci delle prossime versioni del broswer Chrome, e in particolare sulle nuove modalità di segnalazione (e di blocco) che opererà nei confronti di download "non sicuri" a partire da pagine web HTTPS.

"Annunciamo che Chrome assicurerà con gradualità che dalle pagine sicure HTTPS si possano scaricare solamente file sicuri. I file scaricati in maniera non sicura sono un rischio per la sicurezza e la privacy degli utenti. Per esempio programmi scaricati in maniera non sicura possono essere sostituiti con malware dagli attaccanti, mentre malintenzionati potrebbero intercettare estratti conto bancari scaricati in maniera non sicura" ha spiegato il responsabile della sicurezza di Chrome, Joe DeBlasio, in un post sul blog ufficiale. Chrome parla di "mixed content" ovvero di elementi "non sicuri" cioè derivanti da siti non-HTTPS all'interno di siti HTTPS.

Gradualità è proprio la caratteristica chiave del piano di rilascio che ha in mente Chrome: a partire dalla versione 82, la cui diffusione è prevista per il mese di Aprile, il browser avvertirà gli utenti se si accingono a scaricare eseguibili non sicuri da un sito web HTTPS.

Come si vede dallo schema pubblicato sul blog, con il rilascio della versione 83 gli eseguibili saranno invece bloccati direttamente, mentre l'avvertimento riguarderà gli archivi. E così via con questa cadenza: in Chrome 84 gli avvisi saranno per i documenti .doc e .pdf, mentre gli archivi saranno bloccati, sarà poi la volta degli avvertimenti per file audio, immagini e video nella versione 85 e infine dalla versione 86 Chrome bloccerà direttamente tutti i download non sicuri all'interno di un sito HTTPS. Secondo Google la versione Chrome 86 sarà rilasciata indicativamente nel corso del mese di ottobre.

La strategia sarà portata avanti anche per le versioni Android e iOS di Chrome, ma la tabella di marcia sarà ritardata di una versione. Precisa DeBlasio: "Chrome posticiperà il rollout per Android e iOS, facendo partire gli avvisi da Chrome 83. Le piattaforme mobile hanno una miglior protezione nativa contro i file pericolosi, e questo darà agli sviluppatori un piccolo vantaggio nell'aggiornare i loro siti prima di avere impatto sugli utenti mobile".

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

17 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
kamon11 Febbraio 2020, 18:19 #1
Primo download bloccato per salvarci da noi stessi? Quello di firefox
Gringo [ITF]11 Febbraio 2020, 18:30 #2
Il primo download che mi blocca e lo disinstallo, già gli AV FREE con il 90% di falsi positivi bastano, manca solo il browser che blocca i download a suo parere.
Abalfor11 Febbraio 2020, 18:47 #3
nella versione 83 scaricherà solo quel che vuole lui, quando vuole lui.
Tasslehoff11 Febbraio 2020, 19:05 #4
Non diciamo eresie ragazzi, il blocco riguarda solo contenuti http (o esposti in https con evidenti problemi, es certificati non trustati e scaduti, che non rispettano il minimo sindacale in fatto di hardening etc etc) inseriti in pagine https, e deo gratias che qualcuno si è preso la responsabilità di segnare un punto di svolta per spingere il mondo del web in questa direzione.

Quelli che dovranno preoccuparsi sono semmai coloro che ospitano servizi o ne rispondono, per loro si che sarà "pianto e stridore di denti", e lo dico da diretto interessato che ha a perimetro presso svariati clienti dei servizi arcaici su cui i clienti non vogliono spendere un euro per adeguamenti di sicurezza.

L'unico appunto che mi sento di fare alla strategia di Chrome è che forse è eccessivamente restrittiva, nel senso che segnala come non sicura una risorsa per il fatto stesso che essa sia referenziata in http nel codice renderizzato dalle pagine, a prescindere dal fatto che uno riscriva la richiesta del browser da http ad https (ad esempio con una banale regola di rewrite).

Per fortuna esistono moduli (almeno per Apache c'è il mod_substitute) che riscrivono la response http, ma come è facilmente intuibile questo avrà un impatto non indifferente dal punto di vista computazionale (significa in sostanza fare un find&replace su tutto il body della response http per qualsiasi risorsa).
lemming11 Febbraio 2020, 19:42 #5
Mi verrebbe da dire no comment.

HTTPS (rispetto a HTTP) non è la panacea a tutti i mali. Il traffico può essere tranquillamente intercettato tramite TLS/SSL inspection e varie agenzie statali o parastatali (e/o spionaggio industriale) sono già in grado di superare la protezione offerta da TLS.
E' solo un modo per Google di proteggere i dati personali che acquisisce tramite il vostro uso di Chrome o Android. Gratis sì, ma al prezzo dei possedere dati da incrociare per offrirti pubblicità mirata o rivendere/monetizzare in qualche modo.
shodan11 Febbraio 2020, 19:59 #6
Originariamente inviato da: Tasslehoff
Non diciamo eresie ragazzi, il blocco riguarda solo contenuti http (o esposti in https con evidenti problemi, es certificati non trustati e scaduti, che non rispettano il minimo sindacale in fatto di hardening etc etc) inseriti in pagine https, e deo gratias che qualcuno si è preso la responsabilità di segnare un punto di svolta per spingere il mondo del web in questa direzione.


Ciao, personalmente non sono d'accordo con l'approccio di Google, per almeno due motivi:

a) un download HTTPS non è certo garanzia di qualità (specie con il proliferare dei vari servizi SSL gratis, come letsencrypt)

b) è più difficile e invasivo fare deep inspection / content filter a livello perimetrale (la classica soluzione di SSL injection, che prevede di rompere il tunnel SSL "on demand" riscrivendo al volo il certificato tramite una CA condivisa è un processo pesante e invasivo).

Senza poi parlare di *come* i vari browser stanno implementando policy SSL sempre più restrittive: passi per l'impostazione di default, ma che non si possa riabilitare un accesso specifico (magari tramite whitelist) neanche tramite le impostazioni interne (chrome://flags, about:config e simili) mi sembra davvero assurdo, specie quando devi gestire un dispositivo che magari supporta solo l'RC4 o SHA1

Sinceramente credo che l'unico motivo dell'accanimento di Google (e quindi Chrome) verso i protocolli non criptati sia la volontà di rendere difficile filtrare i loro contenuti: l'SSL filtering, proprio per le criticità segnalate sopra, è ancora scarsamente utilizzato e questo significa che molte aziende non possono filtrare/limitare l'uso dei servizi di Google. Ancora più significativo, in tal senso, è l'uso del wildcard *.google.com per siti come youtube.com: dato che bloccare Google come motore di ricerca è fuori discussione, e quindi non si può bannare il CN=*.google.com, anche youtube (così come drive, gmail, ecc) risultano generalmente fruibili anche in realtà dove se ne farebbe volentieri a meno.

E mi sembra molto triste che Firefox segua a ruota molte delle discutibili scelte di Chrome... ma ormai è tardi per lamentarsi, il web è diventato di Google
Sorgiva11 Febbraio 2020, 20:01 #7

Vorrei capire…

Seriamente… anche se lo intercettano il mio download (privacy a parte) quale danno ho alla fine? Che avrò potenzialmente un file corrotto? Faccio questa domanda per i soli contenuti che non riguardano dati sensibili ovviamente.
Qarboz11 Febbraio 2020, 20:21 #8
Ma cosa cambia a scaricare un file infetto in https invece che http? Che essendo tramite https può dare la falsa illusione che sia sicuro al 100%?
Sorgiva11 Febbraio 2020, 20:38 #9
Originariamente inviato da: Qarboz
Ma cosa cambia a scaricare un file infetto in https invece che http? Che essendo tramite https può dare la falsa illusione che sia sicuro al 100%?

Appunto, non cambia nulla.
Opteranium11 Febbraio 2020, 20:42 #10
mi pare che confondano l'oggetto con il mezzo. Se scarico un virus tramite http o https, sempre un virus rimane..

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^