Google Chrome começará a bloquear downloads de sites HTTP inseguros
O Google Chrome deve implementar uma ferramenta de segurança para bloquear downloads inseguros realizados por conexões HTTP. Embora o HTTPS tenha se tornado o padrão da maioria dos sites, ainda há páginas que se recusam a migrar — algumas delas propositalmente usadas para disseminar malwares e aplicar golpes.
A novidade agora é o bloqueio de todos os downloads feitos em sites HTTP, principalmente os marcados como inseguros. Isso vai além das configurações atuais de proteção de transferência, que dava a opção de o usuário decidir se baixava o arquivo por “sua conta e risco”.
Ao clicar no link de download em um site com a conexão HTTPS, o arquivo baixado precisa vir do mesmo protocolo. Se houver redirecionamento para um servidor HTTP inseguro, ainda que retornando à conexão HTTPS ao final, o Chrome bloqueará a transferência.
O navegador já marcava sites que usam o protocolo HTTP como “Não seguros” há algum tempo na barra de endereços. O Chrome também barra a exibição de formulários considerados inseguros e downloads potencialmente perigosos.
Quem não quiser tanta proteção, poderá apenas marcar “Sem proteção” na guia Privacidade e Segurança, localizada nas configurações do Chrome. A medida não é recomendada, pois a falta de proteção deixa seu computador vulnerável a sites, downloads e extensões perigosos.
Como ativar o bloqueio de downloads de HTTP inseguros?
Enquanto a novidade não chega em definitivo para o Chrome, os interessados podem tentar ativá-la por meio de um sinalizador do Chrome. Futuramente, o recurso será incorporado como parte da opção “Sempre usar conexões seguras”.
Siga o passo a passo abaixo:
- Abra o Chrome e digite chrome://flags;
- Pesquise por “Block insecure downloads”
- Leia a descrição para confirmar o bloqueio de downloads inseguros;
- Clique no botão Disabled e mude-o para Enabled;
- Reinicie o navegador e pronto.
Como o recurso está em desenvolvimento, somente quem utiliza o Chrome Canary tem acesso ao sinalizador. Os testes mais amplos com o navegador original devem ocorrer somente a partir do Chrome 111, com lançamento previsto para março de 2023.
Reforço ao HTTPS impulsionado pelo Chrome
Nos últimos anos, o Google adicionou novas proteções ao Chrome para incentivar o uso de conexões HTTPS sempre que possível. A Pesquisa, por exemplo, ranqueia melhor sites que utilizem a comunicação segura diante daqueles que usam o padrão antigo.
Outra medida efetiva foi a alteração padrão nas configurações de segurança para usar sempre “conexões seguras”. Ao fazê-lo, o Chrome tenta executar a versão em HTTPS dos sites, caso exista. Quando aquela página não tem uma opção segura, o programa exibe um aviso para o usuário decidir se continua o acesso.
O HTTPS criptografa a troca de dados entre o usuário e o servidor, impedindo ataques conhecidos como “man-in-the-middle”, quando alguém intercepta a comunicação antes da chegada ao destino. Com os mecanismos criptográficos ativos, os sites passam a enviar as informações embaralhadas, o que impede, na maioria dos casos, o acesso por terceiros não autorizados.
Apesar disso, vale notar que o HTTPS não necessariamente significa que um site é seguro, mas apenas que o tráfego de dados não pode ser facilmente interceptado. Páginas falsas, criadas para roubar senhas, por exemplo, também podem utilizar o protocolo.
Fonte: Canaltech