Il team di Google ha annunciato che a partire dalla stable release di Google Chrome 83 i download dei file eseguibili dalle pagine HTTP, come ad esempio i .exe o i .apk, saranno bloccati.
A comunicare la novità è stato Joe DeBlasio, membro del Chrome security team, tramite un articolo pubblicato sul blog ufficiale dell’azienda:
Chrome inizierà a bloccare i download dei file dalle pagine HTTP . Questa scelta si ricollega al blocco dei mixed content che stiamo pianificando da diversi mesi.
I file scaricati da pagine web non protette da un certificato di sicurezza SSL rappresentano un rischio per gli utenti. Tali file infatti possono contenere malware o dei software pensati per eseguire delle operazioni di phishing. Dunque per far fronte a questi rischi prevediamo di rimuovere il supporto ai download non sicuri con il rilascio di Chrome 86.
Per prima cosa prevediamo di implementare restrizioni sui download di contenuti misti su piattaforme desktop (Windows, macOS, Chrome OS e Linux). Il nostro piano per piattaforme desktop è il seguente:
- Chrome 81 (rilasciato a marzo 2020) e versioni successive:
Chrome stamperà un avviso di console su tutti i download di contenuti misti. - Chrome 82 (rilasciato ad aprile 2020):
Chrome avviserà dei download di contenuti misti di file eseguibili (ad esempio .exe). - Chrome 83 (rilasciato a giugno 2020):
Chrome bloccherà eseguibili a contenuto misto .
Chrome avviserà su archivi di contenuti misti (.zip) e immagini del disco (.iso). - Chrome 84 (rilasciato ad agosto 2020):
Chrome bloccherà eseguibili, archivi e immagini del disco con contenuti misti .
Chrome avviserà di tutti gli altri download di contenuti misti ad eccezione dei formati di immagine, audio, video e testo. - Chrome 85 (rilasciato a settembre 2020):
Chrome avviserà in caso di download di contenuti misti di immagini, audio, video e testo .
Chrome bloccherà tutti gli altri download di contenuti misti . - Chrome 86 (rilasciato a ottobre 2020) e oltre,
Chrome bloccherà tutti i download di contenuti misti.
Dopo queste considerazioni incoraggiamo gli sviluppatori a migrare completamente su HTTPS per evitare restrizioni future e proteggere completamente i propri utenti.
Cosa fare quindi?
Vi consigliamo di installare un certificato SSL, questo farà passare il vostro sito in modalità protetta con protocollo HTTPS e assolverà quindi a tutte le eventuali restrizioni sul vecchio protocollo HTTP .
Esistono due tipologie di Certificati SSL:
- Let’s Encript un certificato free disponibile su tutti i nostri piani di hosting, che si attiva in modo veloce e semplice dal pannello Plesk, usati principalmente per siti personali, hobby, e uso non professionale, in quanto si basano su un autocertificazione.
- Acquistare un certificato SSL professionale tra i molti disponibili (Digicert, RapidSSL, GeoTrust, ecc…) utilizzo di questi certificati è sempre consigliato per i siti aziendali in quanto la loro certificazione è più attendibile in quanto riconosciuta da un ente.
