Como medida de segurança, o Google Chrome passará a bloquear alguns downloads em breve. A proibição vai ocorrer em sites que carregam conteúdo HTTP usando páginas HTTPS. Essa prática é conhecida como conteúdo misto.
Por padrão, a maioria dos navegadores já bloqueia tipos de conteúdo misto, como o carregamento de scripts e iframes. Entretanto, ainda é permitido o carregamento de imagens, áudio e vídeo, o que ameaça a privacidade e a segurança dos usuários.
A exemplo disso, um invasor pode adulterar uma imagem de um gráfico para enganar pessoas que navegam no site ou injetam cookies de rastreamento em uma carga mista de recursos.
O carregamento de conteúdo misto também gera uma experiência confusa ao usuário. Isso porque a página é apresentada como sendo neutra, não há informação se ela é segura ou não, justamente pelo tipo de conteúdo exibido.
Para proteger o usuário, o Google vai começar a exibir um aviso sobre o conteúdo misto. As mensagens vão começar a aparecer no Chrome 82 a partir de 22 de abril. A decisão mais drástica, a de bloqueio, será realizada no Chrome 83 com alguns tipos de arquivo, como arquivos executáveis ‘.exe’ e ‘.apk’.
Para as versões móveis do navegador, a mesma configuração de bloqueio de download ocorrerá, mas um ciclo depois. Portanto, neste caso, as versões do Chrome para Android e iOS vão demorar um pouco para realizar o bloqueio.
Mesmo com essa medida, de acordo com a Kaspersky, ainda não é totalmente seguro realizar downloads em páginas com protocolo HTTPS. “O problema é que o cadeado verde e o certificado não dizem nada sobre o próprio site. Uma página de phishing pode facilmente obter um certificado e criptografar todo o tráfego do usuário”, escreveu a empresa de segurança.
Em resumo, tudo o que o cadeado verde, exibido ao lado do endereço do site, faz é garantir que ninguém pode espionar os dados inseridos. Entretanto, o endereço ainda pode roubar as credenciais se for um domínio enganoso.
Via: Life Hacker
Tags: