Proteger a los usuarios de descargas inseguras en Google Chrome


Hoy anunciamos que Chrome se asegurará gradualmente de que las páginas seguras (HTTPS) solo descarguen archivos seguros. En una serie de pasos descritos a continuación, comenzaremos a bloquear las «descargas de contenido mixto» (las descargas no HTTPS comenzaron en páginas seguras). Este movimiento sigue a un system que anunciamos el año pasado para comenzar a bloquear todos los subrecursos inseguros en páginas seguras.

Los archivos descargados de forma insegura son un riesgo para la seguridad y la privacidad de los usuarios. Por ejemplo, los atacantes pueden intercambiar programas descargados de forma insegura por malware, y los espías pueden leer los extractos bancarios descargados de forma insegura de los usuarios. Para abordar estos riesgos, planeamos eliminar eventualmente el soporte para descargas inseguras en Chrome.

Como primer paso, nos estamos centrando en descargas inseguras iniciadas en páginas seguras. Estos casos son especialmente preocupantes porque Chrome actualmente no le indica al usuario que su privacidad y seguridad están en riesgo.

A partir de Chrome 82 (que se lanzará en abril de 2020), Chrome comenzará a advertir gradualmente y luego bloqueará estas descargas de contenido mixto. Los tipos de archivos que representan el mayor riesgo para los usuarios (por ejemplo, los ejecutables) se verán afectados primero, con versiones posteriores que abarcan más tipos de archivos. Este lanzamiento gradual está diseñado para mitigar rápidamente los peores riesgos, brindar a los desarrolladores la oportunidad de actualizar sitios y minimizar la cantidad de advertencias que los usuarios de Chrome deben ver.

Tenemos la intención de implementar restricciones en las descargas de contenido mixto en plataformas de escritorio (Windows, macOS, Chrome OS y Linux) primero. Nuestro strategy para plataformas de escritorio es el siguiente:

  • En Chrome 81 (lanzado en marzo de 2020) y posterior:
    • Chrome imprimirá un mensaje de consola advertencia sobre todas las descargas de contenido mixto.
  • En Chrome 82 (lanzado en abril de 2020):
    • Chrome lo hará advertir en descargas de contenido mixto de ejecutables (por ejemplo, .exe).
  • En Chrome 83 (lanzado en junio de 2020):
    • Chrome lo hará bloquear contenido mixto ejecutables
    • Chrome lo hará advertir en contenido mixto archivo (.zip) y imágenes de disco (.Yo asi).
  • En Chrome 84 (lanzado en agosto de 2020):
    • Chrome lo hará bloquear contenido mixto ejecutables, archivos e imágenes de disco
    • Chrome lo hará advertir sobre todas las otras descargas de contenido mixto excepto formatos de imagen, audio, video y texto.
  • En Chrome 85 (lanzado en septiembre de 2020):
    • Chrome lo hará advertir en descargas de contenido mixto de imágenes, audio, movie y texto
    • Chrome lo hará bloquear todas las demás descargas de contenido mixto
  • En Chrome 86 (lanzado en octubre de 2020) y posteriores, Chrome bloqueará todas las descargas de contenido mixto.

Ejemplo de una advertencia potencial

Chrome retrasará el lanzamiento para los usuarios de Android e iOS en una versión, comenzando las advertencias en Chrome 83. Las plataformas móviles tienen una mejor protección nativa contra archivos maliciosos, y este retraso les dará a los desarrolladores una ventaja para actualizar sus sitios antes de afectar a los usuarios móviles.

Los desarrolladores pueden evitar que los usuarios vean una advertencia de descarga asegurándose de que las descargas solo usen HTTPS. En la versión genuine de Chrome Canary, o en Chrome 81 una vez lanzado, los desarrolladores pueden activar una advertencia en todas las descargas de contenido mixto para probar habilitando el indicador «Tratar descargas riesgosas sobre conexiones inseguras como contenido mixto activo» en chrome://flags/#treat-unsafe-downloads-as-lively-content.

Los clientes empresariales y educativos pueden deshabilitar el bloqueo por sitio a través de los existentes InsecureContentAllowedForUrls política agregando un patrón que coincida con la página que solicita la descarga.

En el futuro, esperamos restringir aún más las descargas inseguras en Chrome. Alentamos a los desarrolladores a migrar completamente a HTTPS para evitar futuras restricciones y proteger completamente a sus usuarios. Los desarrolladores con preguntas pueden enviarnos un correo electrónico a protection-dev@chromium.org.




Enlace a la noticia primary