Chrome: Unsichere Downloads sollen spätestens ab Chrome 86 keine Chance mehr haben
von Benjamin Mamerow | 18 Kommentare
Google informiert darüber, dass innerhalb der nächsten Monate nach und nach dafür gesorgt werden soll, dass Google Chrome irgendwann keine unsicheren Downloads mehr über HTTPS-Seiten zulassen soll. Den Anfang wird man mit sogenannten „Downloads mit gemischtem Inhalt“ machen, so Google. Das Ziel ist es, am Ende nur noch wirklich sichere Inhalte über sichere Seiten herunterladen zu können. Als ersten Schritt plane das Unternehmen, in Chrome 82 (soll im April 2020 erscheinen) auf unsichere Downloads, die auf sicheren Seiten gestartet werden, per Mitteilung hinzuweisen und später dann vollständig zu blockieren. Hierbei liegt das Augenmerk zu Beginn vor allem auf ausführbaren Dateitypen, später dann aber auch auf anderen Inhalten.
Wir planen, zunächst Beschränkungen für das Herunterladen gemischter Inhalte auf Desktop-Plattformen (Windows, MacOS, Chrome OS und Linux) einzuführen. – Google
Bei den mobilen Versionen von Chrome (Android und iOS) werde die Einführung der genannten Änderungen jeweils exakt eine Version später erfolgen, da der Schutz auf den Geräten vor bösartigen Dateien hier etwas besser sei als auf dem Desktop. Zudem soll sich jene Verzögerung auch für die Entwickler positiv auswirken, da jene etwas mehr Zeit bekommen, ihre Webseiten auch mobil entsprechend anzupassen.
Wird geladen ...
Ich verstehe die Tabelle nicht ganz. Soll das bedeuten ab Chrome 84 kann man keine Zip-Pakete mehr herunterladen ohne das sie geblockt werden? Damit würden sie ja im Prinzip jeden Download blockieren, inklusive ihrem eigenen Installer oder?
Oder nur Zip Pakete die Google als „Schädlich“ erkennt? Wie auch immer das dann ablaufen soll bei mit Passswort geschützten Zips
Es geht darum, dass Downloadinhalte wie Bilder etc aus einer sicheren Quelle (=HTTPS) kommen müssen und über HTTP geblockt werden (mixed content), wenn die Ursprungsseite über HTTPS aufgerufen wird. Sprich du kannst nicht auf https://www.download.com gehen und die programm.exe von http://dl.download.com laden.
Der Artikel hier gibt das nur mal wieder völlig falsch wieder. Passiert hier leider ständig, dass selbst einfachste Originalquellen falsch dargestellt werden.
Es steht genau das Gegenteil in dem Artikel:
„….dass Google Chrome irgendwann keine unsicheren Downloads mehr über HTTPS-Seiten zulassen soll…. „
Nein, die Seite ist ja eben HTTPS, der Download nur HTTP und damit unsicher. Artikel ist schon richtig.
Den Nutzer entmündigen und im Glauben lassen jetzt wird alles sicher
Weil Downloads über HTTPS laufen müssen? Soso.
Und wie soll man dann iso Dateien laden? Diese Bevormundung geht mir langsam auf den Sack.
Du kannst doch vielleicht einen weiteren Browser, wie z.B. Samsung Internet bereithalten, bzw. einen Download-Manager wie z.B. Ponydroid (Playstore).
Warum versteht das denn niemand? Es geht darum, dass Downloads über HTTPS laufen müssen, um manipulationssicher zu sein. Mehr nicht
Vllt. weil der Artikel einfach dämlich geschrieben ist und das so nicht hergibt!
„keine unsicheren Downloads mehr über HTTPS-Seiten zulassen soll“
Das steht so im Text.
Es fehlt aber die Erklärung, warum Downloads unsicher sind. Sie sind dies NICHT wegen ihres Inhalts (Also Virenverdacht etc) sondern weil sie NICHT HTTPS verschlüsselt heruntergeladen werden – auch wenn die Downloadseite selbst HTTPS verwendet.
Die Warnung komm an und zu bei Warez, aber Inhalt ist 1A, also nur ein Zensur/kopier Schutz!!!
Der arme Werner 😉
Es geht doch nur darum, von httpS-Seiten keine http-Downloads mehr zu erlauben – der Inhalt ist egal. Im Endeffekt sollen nach den Webseiten auch die Downloads nur noch per https erreichbar sein.
Ist nur konsequent, Google versucht ja das Web vollständig auf https umzustellen. Was für den Enduser eigentlich eine gute Sache ist.
Es geht doch nur darum, dass keine HTTP- Downloads über HTTPS-Seiten gestartet werden können.
Schnee von gestern. Alles kein Problem dank Let’s encrypt.
Der Artikel ist tatsächlich leider falsch mit der aktuellen Aussage.
Hatte mich auch erst gewundert was denn nun genau „unsichere“ Downloads über HTTPS sein sollen – aber ja, es geht wohl um HTTP Downloads die über eine HTTPS gesicherte Seite ausgelöst werden. Ich denke ihr solltet den Text nochmal etwas anpassen um Missverständnis zu vermeiden (abgesehen vom Typo, dass dort httpS steht).