En abril de 2019, Google propuso que los navegadores web loqueen las descargas de archivos que se realizan a través de HTTP, cuando el usuario inicia la descarga desde un sitio cargado por medio de HTTPS.
Hoy, Google anunció que avanzará formalmente con dicha propuesta, por lo que comenzará a hacer cambios en Chrome. Según un cronograma, la compañía dijo que Chrome 83, que se lanzará en junio, comenzará a bloquear las «descargas riesgosas».
El fabricante del navegador dijo el año pasado que no tenía la intención de bloquear las descargas HTTP iniciadas desde sitios HTTP, ya que Chrome está advirtiendo a los usuarios sobre la poca seguridad del sitio a través del indicador «no seguro» en la barra de URL.
El plan es bloquear las descargas inseguras en sitios que parecen ser seguros, pero donde las descargas no lo son. Google dijo que la presencia de HTTPS en la URL del sitio estaba engañando a los usuarios para que piensen que la descarga también se realizó por medio de HTTPS, pero en algunos casos no fue así.
El nuevo cambio en el comportamiento de Google Chrome no se aplicará de pronto. Google publicó un proceso de seis pasos durante el cual prohibirá lentamente las descargas HTTP en sitios HTTPS.
- Chrome 81 (marzo de 2020): Chrome imprimirá un mensaje de consola advirtiendo sobre todas las descargas de contenido mixto.
- Chrome 82 (abril de 2020): Chrome advertirá sobre las descargas de contenido mixto de ejecutables.
- Chrome 83 (junio de 2020): Chrome bloqueará los ejecutables de contenido mixto. También advertirá sobre archivos de contenido mixto e imágenes de disco.
- Chrome 84 (agosto de 2020): Chrome bloqueará archivos ejecutables de contenido mixto, archivos e imágenes de disco. Advertirá sobre todas las demás descargas de contenido mixto, excepto formas de imagen, audio, video y texto.
- Chrome 85 (septiembre de 2020): Chrome advertirá sobre las descargas de contenido mixto de imágenes, audio, video y texto. Bloqueará todas las demás descargas de contenido mixto.
- Chrome 86 (octubre de 2020): Chrome bloqueará todas las descargas de contenido mixto.
Sin embargo, la compañía dijo que en algunas condiciones controladas, como las intranets, las descargas HTTP pueden tener un riesgo menor. Para estos casos, la compañía informó que existe una política de Google Chrome (InsecureContentAllowedForUrls) que puede permitir descargas HTTP en entornos controlados.
Los editores web que quieran probar si sus sitios web cumplen con esta nueva política, pueden hacerlo en Google Chrome Canary, la versión de prueba de Chrome. Para hacerlo, deben habilitar la siguiente bandera:
chrome://flags/#treat-unsafe-downloads-as-active-content
