Google Chrome avviserà gli utenti quando inviano moduli non sicuri
18 Agosto 2020 - Tempo di lettura: 8 minuti
Google Chrome avviserà gli utenti quando inviano moduli non sicuri che forniscono informazioni tramite connessioni HTTP su siti Web HTTPS a partire dalla versione 86.
Questi moduli (noti anche come moduli misti) rappresentano rischi per la privacy e la sicurezza degli utenti poiché possono consentire agli aggressori di leggere o modificare i dati inviati.
Per risolvere questo problema, il team di Chrome prevede di apportare una serie di modifiche al modo in cui il browser web affronta i rischi associati a tali moduli non sicuri.
Prima di tutto, Google Chrome v86 disabiliterà automaticamente il riempimento automatico dei moduli misti, ma con un'eccezione quando si tratta di moduli utilizzati come prompt di accesso.
"Su moduli misti con richieste di accesso e password, il gestore delle password di Chrome continuerà a funzionare", ha affermato Shweta Panditrao del Chrome Security Team.
"Il gestore delle password di Chrome aiuta gli utenti a inserire password univoche ed è più sicuro utilizzare password univoche anche su moduli inviati in modo non sicuro, piuttosto che riutilizzare le password".
Chrome avviserà anche gli utenti quando iniziano a compilare moduli non sicuri utilizzando un testo di colore rosso visualizzato sotto il modulo misto.
Il browser visualizzerà anche un avviso a pagina intera se gli utenti decidono di inviare comunque il modulo, informandoli del rischio per la sicurezza intrinseco dietro l'invio di informazioni sensibili su un canale HTTP non crittografato.
Questa modifica viene apportata per "comunicare in modo più efficace i rischi associati all'invio di dati in moduli non sicuri" poiché le versioni correnti di Google Chrome li contrassegnano solo rimuovendo la barra di blocco visualizzata nella barra degli indirizzi per i siti HTTPS.
Contenuto misto sotto il fuoco
Google sta inoltre pianificando di bloccare completamente i download di contenuti misti dai siti per proteggere gli utenti di Chrome 86 dagli attacchi man-in-the-middle (MiTM), una funzionalità che ha iniziato a essere implementata gradualmente a partire dal rilascio di Chrome 81 in Marcy 2020.
Google ha anche annunciato nell'ottobre 2019 che Chrome inizierà gradualmente a bloccare anche le pagine HTTPS dal caricamento di risorse non sicure per migliorare la sicurezza degli utenti durante la navigazione in Internet.
La versione di Chrome 79 rilasciata a dicembre 2019 è stata la prima che ha consentito agli utenti di sbloccare alcuni contenuti bloccati per sito "facendo clic sull'icona del lucchetto su qualsiasi pagina https:// e facendo clic su Impostazioni sito".
Nel gennaio 2020, con il rilascio di Chrome 80, il browser ha anche avviato l'aggiornamento automatico delle risorse audio e video miste a https://, bloccandole per impostazione predefinita se non vengono caricate. Chrome 81 ha anche avviato l'aggiornamento automatico di tutte le immagini miste a HTTPS, bloccando automaticamente tutte quelle che non sono state caricate su https://.
