Google blockiert ab Chrome 83 bestimmte HTTP-Dateidownloads

Google hat seine Pläne konkretisiert, künftig Downloads per Chrome über nicht verschlüsselte HTTP-Verbindungen einzuschränken beziehungsweise zu blockieren. Für Nutzer ergeben sich demnach ab Chrome 83 konkrete Veränderungen: Mit dem für Juni 2020 angekündigten Release führt Chrome bestimmte HTTP-Downloads nicht mehr aus, wenn diese von einer HTTPS-Website aus gestartet werden.

Bereits im April 2019 hatte Google Maßnahmen gegen HTTP-Downloads von HTTPS-Websites angekündigt. Google unterstellt, dass Besucher einer HTTPS-Website davon ausgehen, dass auch ein von dort angestoßener Download über eine verschlüsselte Verbindung ausgeführt wird. Der jetzt vorgestellte Plan sieht vor, Nutzer über einen längeren Zeitraum an die Änderungen heranzuführen und schrittweise Einschränkungen für bestimmte Arten von Downloads einzuführen.

Im ersten Schritt zeigt der Browser lediglich eine Warnung zu unverschlüsselten Downloads in seiner Konsole an. Die Änderung gilt ab dem kommenden Release Chrome 81. Mit Chrome 82 sehen Nutzer erstmals eine Warnung, allerdings nur für ausführbare Dateien. Diese werden dann ab Version 83 tatsächlich blockiert.

Chrome 83 wird zudem Warnungen zu Archiven und Image-Dateien einführen. Diese Dateitypen lassen sich mit dem Update auf Chrome 84 nicht mehr herunterladen. Das Update auf Chrome 84 wird Google indes nutzen, um vor Downloads weiterer Dateitypen zu warnen, darunter PDF und DOCX. Geblockt werden diese ab Chrome 85, wenn parallel Warnungen zu Bild-, Audio-, Video- und Textdateien eingeführt werden. Alle HTTP-Downloads von verschlüsselten Websites sperrt Chrome dann schließlich ab Version 86, die derzeit für Oktober 2020 geplant ist.

Google berücksichtigt aber auch, dass in bestimmten Umgebungen Downloads per HTTP weniger risikoreich sind. Für den Fall bietet Chrome die Option die Richtlinie „InsecureContentAllowedForUrls an, die HTTP-Downloads in kontrollierten Umgebungen freischaltet.

Websitebetreiber fordert Google zudem auf, ihre Angebote an die neuen Regeln anzupassen. Per Chrome-Flag „#treat-unsafe-downloads-as-active-content“ können Entwickler ab sofort mit der Canary-Version von Chrome testen, ob ihre Downloads bereits den neuen Regeln entsprechen.

Mozilla äußerte im vergangenen Jahr ebenfalls Interesse an den von Google vorgelegten Vorschlägen. Allerdings liegen von den Firefox-Entwicklern noch keine konkreten Pläne für deren Umsetzung vor.