Gefährlicher Mixed Content: Google Chrome blockt bald unsichere Downloads

Sicherheit zählt für Google zu den Schlagworten für den eigenen Browser. Daher wurde bereits im vergangenen Oktober angekündigt, dass Seiten mit dem HTTPS-Protokoll auf lange Sicht keine HTTP-Ressourcen mehr laden sollen. Nun erklärte Google via Blogpost, dass 2020 Schritt für Schritt der Download von Mixed Content als Option im Browser entfernt wird. Schon im April beginnt der Prozess mit Warnungen in der Version Chrome 82.

Die User sollen vor unsicheren Downloads geschützt werden

Inzwischen verbringen User laut Googles Angaben über 90 Prozent ihrer Browsing-Zeit bei Chrome auf sicheren Seiten mit HTTPS-Verschlüsselung. Als problematisch erkannte Google dabei Sub-Ressourcen, die über HTTP laden. Sogenannter Mixed Content kann verschiedene Probleme mit sich bringen. Eine Website könnte aufgrund dieser Ressourcen als unsicher eingeschätzt werden. Und Downloads, die über eine unsichere HTTP-Verbindung zustande kommen, könnten die Integration von Malware hervorrufen. Entsprechend gibt Googles Joe DeBlasio aus Chromes Sicherheitsteam bekannt:

For instance, insecurely-downloaded programs can be swapped out for malware by attackers, and eavesdroppers can read users‘ insecurely-downloaded bank statements. To address these risks, we plan to eventually remove support for insecure downloads in Chrome.

Daher geht Google Chrome mit einem Plan sukzessive gegen diese Gefahr vor. Ab der Chrome-Version 81, die im März ausgerollt wird, wird eine Nachricht an Entwickler gesendet, die vor den unsicheren Downloads warnt. Ab der Version 82 (April 2020) folgen dann Warnungen für die User im Browser und es werden nach und nach immer mehr unsichere Download-Formen geblockt. Vor allem ausführbare Programme (zum Beispiel .exe) stellen Sicherheitsrisiken dar und sollen eher blockiert werden als anderer Mixed Content wie etwa Audio und Bilder (zum Beispiel .mp3 und .png).

Auf Desktop werden die Warnungen zuerst ausgespielt

Google plant zunächst für Desktop-zentrierte Betriebssysteme (Windows, macOS, Chrome OS und Linux) die Änderungen durchzusetzen.

Während beispielsweise ab Chrome 82 Warnungen bei Downloads von ausführbaren Programmen auftauchen, werden diese ab der Version 83 (Juni 2020) blockiert; ab dieser Version wird dann vor Downloads von Datensammlungen, sogenannten Archives (zum Beispiel .zip-Dateien), gewarnt. Die werden wiederum ab der folgenden Chrome-Version per Default geblockt und so fort. Ab Chrome 86 (Oktober 2020) sollen alle Mixed-Content-Formen blockiert werden, auch Downloads von .pdf-Dateien oder .png-Bildern, sofern diese über HTTP als Download bereitgestellt werden.

Für Android und iOS werden die Änderungen mit der Chrome-Version 83 aktiv. Auf diese Weise erhalten Entwickler die Chance, ihre mobilen Seiten rechtzeitig abzusichern.

Entwickler können Warnungen auf ihren Seiten ausschließen

Sofern auf Websites jeder Download über das sichere HTTPS-Protokoll zur Verfügung gestellt wird, werden auch keine Warnungen vor dem Download bei Chrome angezeigt. Schon jetzt können Entwickler über Chrome Canary – und später über Chrome 81 – testen, inwieweit es bei ihren Seiten zu Warnungen vor unsicheren Downloads kommen könnte. Dazu müssen sie die Markierung „Treat risky downloads over insecure connections as active mixed content“ auf chrome://flags/#treat-unsafe-downloads-as-active-content aktivieren.

Es gibt jedoch eine Ausnahmeoption. Geschäftskunden und Lehrinstitutionen können auch unsichere Downloads erlauben, wenn für jede einzelne Seite, die Downloads anbietet, die bestehende InsecureContentAllowedForUrls-Richtlinien angewandt werden. Um als Entwickler auf der sicheren Seite zu sein, empfiehlt Google jedoch, frühzeitig alle Seiten und Ressourcen auf HTTPS zu migrieren. Weiterführende Informationen, wie Mixed Content gefunden und vermieden werden kann, liefert der Google Developers Blog.