Google: Chrome soll langfristig HTTP-Downloads blockieren

Analog zur geplanten Abschaffung des Ladens von Mixed-Content im Chrome-Browser planen die Entwickler von Google nun auch, sogenannte Mixed-Content-Downloads zu blockieren. Dabei handelt es sich um Downloads, die über das unsichere HTTP übertragen werden, jedoch auf HTTPS-Webseiten gestartet wurden. Langfristig sollen wohl alle unsicheren Downloads im Chrome-Browser blockiert werden.

In der Ankündigung begründet das Joe DeBlasio von Chromes Security-Team damit, dass unsichere Downloads eine Gefahr für Sicherheit und Privatsphäre der Nutzer sind. So könnten per HTTP heruntergeladene Dateien durch Angreifer über einen Man-in-the-Middle-Angriff durch Malware ausgetauscht werden. Ebenso lassen sich die Inhalte der heruntergeladenen Dateien bei HTTP-Verbindungen mitlesen.

Bei der Umsetzung der Blockade unsicherer Downloads will sich das Team zunächst auf die eingangs erwähnten Mixed-Content-Downloads konzentrieren. Denn bisher habe Chrome keine Möglichkeit, Nutzer vor dieser unsicheren Übertragung zu warnen. Beginnen will das Team mit der Warnung vor unsicheren Downloads von ausführbaren Dateien mit Chrome 82, das im April 2020 erscheinen soll. In Chrome 83 sollen diese Downloads dann blockiert werden.

Stufenweise folgen sollen Archive wie .zip oder .iso mit Version 83, weiter potenziell gefährliche Dateien wie PDF oder Docx mit Chrome 84 und schließlich Bilder, Audio, Video und Text mit Chrome 85. Ab der Version 86 sollen dann Downloads aller aufgezählten Dateitypen blockiert werden.

Um die Warnungen und die eigenen Seiten zu testen, bietet Google in aktuellen Canary Builds von Chrome und dann auch mit der kommenden Version 81 die Möglichkeit, die Warnung über die Option chrome://flags/#treat-unsafe-downloads-as-active-content zu aktivieren. Enterprise- und Education-Nutzer können das standardmäßige Blockieren mit einer Whitelist pro Domain über eine Richtlinie überschreiben.