Tra qualche mese Google Chrome bloccherà i download che non ritiene sicuri. Tuttavia, questo potrebbe non bastare a proteggere i nostri computer e infatti è buona pratica avere un antivirus e antimalware, anche gratuito ma buono.
Lo scorso ottobre Google ha annunciato che, allo scopo di proteggere gli utenti da contenuti dannosi, impedirà lo scaricamento di file sul protocollo HTTP, cioè quello non protetto. In effetti, ciò che impedirà sarà il caricamento di contenuti HTTP anche sui siti HTTPS.
Cosa significa?
Se il sito ha un certificato SSL che quindi attiva il protocollo HTTPS, può ugualmente succedere che alcuni contenuti di quello stesso sito siano forniti tramite HTTP, non in modalità crittografata dunque. In questo caso, Google Chrome ne impedirà il download.
Il comunicato Google – che abbiamo tradotto dal comunicato ufficiale in Inglese – riporta quanto segue:
“Le pagine HTTPS generalmente soffrono di un problema chiamato contenuto misto, in cui le risorse secondarie sulla pagina vengono caricate in modo non sicuro su http. I browser bloccano molti tipi di contenuti misti per impostazione predefinita, come script e iframe, ma è ancora possibile caricare immagini, audio e video, il che minaccia la privacy e la sicurezza degli utenti. Ad esempio, un utente malintenzionato potrebbe manomettere un’immagine di un grafico che riporta l’andamento di un’azione per indurre in errore gli investitori o iniettare un cookie di tracciamento. Il caricamento di contenuti misti comporta anche problemi di confusione all’utente, infatti questi non riesce a capire se la pagina è sicura o meno. “
Google
Grafico informativo di Google
Google fornisce questo grafico molto utile dove sono indicate le versioni di Chrome e le funzioni di blocco dei download a secoda del tipo di file.
Per simulare ciò che accadrà, Google ha creato alcuni siti dimostrativi, basta cliccare qui per vedere. Mentre in questo articolo Google informa cosa intende per contenuti misti.
Gli avvisi inizieranno con la versione 82 di Chrome, che in versione stabile è previsto per il 22 aprile. Dalla versione 83 inizieranno i veri e propri blocchi, come mostrato dal grafico qui sopra.
Versione mobile
Per quanto riguarda le versioni mobili del browser, la stessa configurazione di blocco del download sarà posticipata. Entrambe le versioni di Chrome, per Android e iOS, bloccheranno il download degli eseguibili HTTP sui siti Web HTTPS.
Attenzione a non fare confusione tra crittografia e sicurezza
I certificati SSL attivano il protocollo di trasmissione HTTPS, come sappiamo. Questo protocollo – HTTPS (Hypertext Transfer Protocol Secure) – assicura che la comunicazione tra utente e server è crittografata e che quindi non può essere intercettata da terzi. Di fatto, però, non assicura che il sito sia esente da virus o malware.
Una pagina di phishing – cioè una pagina fraudolenta che tenta di ottenere da utenti ignari informazioni anche molto delicati quali ad esempio i codici della carta di credito – può benissimo essere protetta con un certificato SSL e perciò crittografare tutto il traffico tra utente e sito.
Di conseguenza, HTTPS garantisce che nessuno può spiarci durante la navigazione su quel sito ma non grantisce certo che quel sito operi in modo fraudolento.
Una ricerca interessante effettuata da Phishlabs nel 2017, indica come un quarto di tutti gli attacchi di phishing avviene su siti HTTPS. Quindi, fate sempre molta attenzione anche se il sito è protetto da SSL.
Proteggetevi e non fidatevi
Chiaramente, la responsabilità di scaricare i contenuti ricade sempre sull’utente. Attivate un blocco degli annunci, o anche più blocchi, e impostate la navigazione sicura di Google.
Indicazioni utili
Se non site sicuri di un determinato file che avete scaricato, potete eseguire un test con un sistema sandbox o su una macchina virtuale. Di seguito indichiamo una serie di questi strumenti tra cui anche ad blocker e antivirus. Vi invitiamo anche a fare uso delle funzioni di protezione su qualunque browser utilizziate.