في فبراير 2020 ، كشفت Google عن نيتها في تحذير مستخدمي Chrome مبدئيًا من التنزيلات “غير الآمنة” وحظرها نهائيًا. أعلن Joe DeBlasio من فريق أمان Chrome عن الإعلان: “نعلن اليوم أن Chrome سيضمن تدريجيًا أن الصفحات الآمنة (HTTPS) تقوم بتنزيل الملفات الآمنة فقط. في سلسلة من الخطوات الموضحة أدناه ، سنبدأ في حظر “تنزيلات المحتوى المختلط” (تبدأ التنزيلات بخلاف تنزيلات HTTPS على صفحات آمنة). تتبع هذه الخطوة خطة أعلناها العام الماضي لبدء حظر جميع الموارد الفرعية غير الآمنة على الصفحات الآمنة”.
وشرح أن الملفات التي يتم تنزيلها بطريقة غير آمنة تشكل خطرًا على أمان وخصوصية المستخدمين. على سبيل المثال ، يمكن للمهاجمين استبدال البرامج التي يتم تنزيلها بشكل غير آمن بالبرامج الضارة ، وقد يكون من الممكن قراءة البيانات المصرفية للمستخدمين الذين قاموا بتنزيلها بشكل غير آمن. لمواجهة هذه المخاطر ، أزالت Google دعم التنزيلات غير الآمنة في Chrome: “كخطوة أولى ، نركز على بدء التنزيلات غير الآمنة في الصفحات الآمنة. هذه الحالات تثير قلقًا خاصًا ، لأن Chrome في الوقت الحالي لا يعطي المستخدمين أي مؤشر على أن خصوصيتهم وأمنهم في خطر “.
لذلك ، بدءًا من Chrome 82 (الذي تم إصداره في أبريل 2020) ، بدأ Chrome تدريجيًا في إعلام وتنزيلات المحتوى المختلط هذه لاحقًا. تأثرت أنواع الملفات التي تشكل أكبر قدر من المخاطر على المستخدمين (مثل الملفات التنفيذية) أولاً ، حيث تغطي الإصدارات الأحدث من Chrome المزيد من أنواع الملفات. تم تصميم هذا الطرح التدريجي للتخفيف بسرعة من أسوأ المخاطر ، ومنح المطورين القدرة على تحديث المواقع ، وتقليل عدد التحذيرات التي يراها مستخدمو Chrome.
تخطط Google لطرح قيود على تنزيلات المحتوى المختلط على منصات سطح المكتب (Windows و macOS و Chrome OS و Linux) أولاً. كانت خارطة الطريق لمنصات سطح المكتب كما يلي:
- في Chrome 81 (تم إصداره في مارس 2020) والإصدارات الأحدث:
- يعرض Chrome رسالة تحذير على جميع تنزيلات المحتوى المختلط.
- في Chrome 82 (تم إصداره في أبريل 2020):
- يحذر Chrome في حالات تنزيل المحتوى المختلط للملفات القابلة للتنفيذ (على سبيل المثال. exe).
- في Chrome 83 (تم إصداره في يونيو 2020):
- يحظر Chrome الملفات التنفيذية ذات المحتوى المختلط ؛
- يُصدر Chrome تحذيرًا عند محاولة تنزيل أرشيفات المحتوى المختلط (.zip) وصور القرص (.iso).
- في Chrome 84 (تم إصداره في أغسطس 2020):
- يحظر Chrome الملفات التنفيذية والمحفوظات وصور القرص المختلطة ؛
- يحذر Chrome من جميع التنزيلات الأخرى للمحتوى المختلط باستثناء تنسيقات الصور والصوت والفيديو والنص.
- في Chrome 85 (تم إصداره في سبتمبر 2020):
- يحذر Chrome من محاولات تحميل محتوى مختلط من الصور والصوت والفيديو والنص ؛
- يحظر Chrome جميع التنزيلات الأخرى للمحتوى المختلط.
- في Chrome 86 (تم إصداره في أكتوبر 2020) وما بعده ، يحظر Chrome جميع تنزيلات المحتوى المختلط.
يتبع Firefox خطى Chrome
يضع مطورو Mozilla اللمسات الأخيرة على ميزة جديدة تمنع تنزيلات الملفات غير الآمنة في Firefox.
تعمل الميزة ، التي يطلق عليها حظر المحتوى المختلط الذي تم تنزيله ، عن طريق حظر تنزيلات الملفات التي يتم بدؤها من صفحة HTTPS مشفرة ولكنها تحدث بالفعل من خلال قناة HTTP غير مشفرة.
تكمن الفكرة وراء هذه الميزة في منع مستخدمي Firefox من تضليل شريط عنوان URL للاعتقاد بأنهم يقومون بتنزيل ملف بشكل آمن عبر HTTPS في حين أنه في الواقع يمكن العبث بالملف من قبل أطراف ثالثة أثناء النقل.
في صفحة المساعدة ، يتذكر Firefox المحتوى المختلط وما هي المخاطر:
“HTTP هو بروتوكول لنقل المعلومات من خادم ويب إلى متصفحك. HTTP ليس آمنًا ، لذلك عند زيارة صفحة يتم إرسالها عبر HTTP ، يكون اتصالك مفتوحًا للتنصت وهجمات “man-in-the-middle”. تستخدم معظم المواقع HTTP لأن المعلومات المتداولة هناك ليست حساسة وبالتالي لا تحتاج إلى أن تكون آمنة.
“عندما تزور صفحة تم نقلها بالكامل باستخدام HTTPS ، كما هو الحال على موقع الويب الخاص بالمصرف الذي تتعامل معه ، سترى رمز قفل في شريط العناوين. هذا يعني أن اتصالك مصدق عليه ومشفّر ، وبالتالي فهو محمي من التنصت وهجمات الرجل في الوسط.
“ومع ذلك ، إذا كانت صفحة HTTPS تتضمن بيانات HTTP ، فيمكن للقراصنة قراءة جزء HTTP أو تعديله ، حتى إذا تم تقديم الصفحة الرئيسية عبر HTTPS. عندما تحتوي صفحة HTTPS على بعض محتوياتها في HTTP ، فإن هذا يسمى المحتوى “المختلط”. الصفحة مشفرة جزئيًا فقط ، وبينما تبدو آمنة ، فهي ليست كذلك “.
تفاصيل الوظيفة:
- سيتم حظر جميع تنزيلات ملفات HTTP من صفحة HTTPS برسالة في مركز تنزيل Firefox (CTRL + J).
- سيتوفر خيار للسماح للمستخدمين بالسماح بالتنزيل إذا رغبوا في ذلك.
- لن يتم حظر تنزيلات ملفات HTTP من صفحات HTTP.
- لن يتم حظر روابط تنزيل HTTP التي يمكن الوصول إليها مباشرة (نسخ ولصق في شريط عنوان Firefox).
- الميزة نشطة وممكّنة بالفعل في إصدارات Firefox Beta و Developer و Nightly.
- استنادًا إلى إدخالات متتبع أخطاء Firefox الحالية ، من المتوقع تمكين الميزة لجميع مستخدمي Firefox في Firefox 92 ، والذي من المقرر إصداره رسميًا في أوائل سبتمبر 2021.
يمكن لمستخدمي Firefox Stable الذين يرغبون في اختباره الآن الانتقال إلى صفحة about: config settings وتمكين الخيار التالي: dom.block_download_insecure set to true.
كيف أعرف أن الصفحة بها محتوى مختلط؟
توضح Mozilla أن هناك نوعين من المحتوى المختلط: المحتوى الخامل والمحتوى المختلط المنشور والمحتوى المختلط النشط. يكمن الاختلاف بينهما في مستوى التهديد. يقترح المحرر التحقق مما إذا كانت أيقونة القفل موجودة في شريط العناوين لتحديد ما إذا كانت الصفحة تحتوي على محتوى مختلط.
وللشرح:
- لا يوجد محتوى مختلط: آمن
- المحتوى المختلط غير محظور: لست متأكدًا
- إذا رأيت قفلًا محظورًا باللون الأحمر ، فهذا يعني أن الصفحة بها محتوى مختلط نشط ولا يحظر Firefox عناصرها غير الآمنة. هذه الصفحة عرضة للاعتراضات والهجمات التي قد تُسرق فيها بياناتك الشخصية منك من الموقع. يجب ألا ترى هذا الرمز على صفحة آمنة (HTTPS) ما لم تقم بإلغاء حظر المحتوى المختلط باتباع الإرشادات الواردة في القسم التالي. ملاحظة: يتم أيضًا عرض قفل أحمر محظور على موقع غير مشفر (HTTP).
- يشير القفل الرمادي مع المثلث إلى أن Firefox لا يحظر المحتوى السلبي غير الآمن ، مثل الصور. بشكل افتراضي ، لا يحظر Firefox المحتوى المختلط السلبي ، بل ترى فقط تحذيرًا من أن الصفحة ليست آمنة تمامًا. من المحتمل أن يتلاعب المتسللون بأجزاء من الصفحة ، مثل نشر محتوى مخادع أو غير لائق ، لكن يجب ألا يتمكنوا من سرقة بياناتك الشخصية من هذا الموقع.
سترى قفلًا عندما تكون في صفحة آمنة تمامًا (بواسطة HTTPS). لمعرفة ما إذا كان Firefox قد حظر أجزاء غير آمنة من الصفحة ، انقر فوق رمز القفل الرمادي.
