Pertengahan 2020 pengguna tidak akan bisa lagi mengunduh file dari url HTTP.
Setiap saat di beberapa kesempatan, kita menyaksikan browser ternama membuat keputusan terkait keamanan yang memiliki dampak signifikan terhadap pengguna, membuat seluruh web lebih aman. Dan sekarang Google telah mengumumkan rencananya untuk memblokir unduhan HTTP di Chrome yang merupakan browser terpopuler di dunia.
Berikut apa saja yang Google ubah, dan apa baiknya bagi website?
Alasan Google Memblokir
Google Chrome merupaka salah satu browser utama yang memberikan peringatan Not Secure saat Anda mengunjungi wesbite non-HTTPS. Sepanjang waktu pengguna diberitahu tentang ketidakamanan koneksi, agar mereka tidak melakukan aktivitas pertukaran informasi penting dengan website tersebut. Semua tindakan itu memberikan peran penting untuk mengarahkan kesadaran pengguna.
Namun, ternyata tindakan tersebut tidak’lah cukup.
Bagaimana dengan website yang sudah menggunakan sertifikat SSL/TLS, tetapi diam-diam menyediakan unduhan file melalui situs HTTP lain? Bagaimana jika hacker menyelipkan malware ke sistem Anda kemudian? Itu semua mungkin bisa terjadi.
Dalam istilah teknis, seperti campuran konten HTTP pada website HTTPS maka disebut sebagai konten campuran. Dan dengan unduhan campuran, kebanyakan pengguna gampang tertipu selama tidak adanya indikasi yang memberitahu jika link unduhan ada HTTP. Ini tentunya sebuah lubang besar dalam website HTTPS dan Google memutuskan untuk menutupnya dengan memblokir unduhan HTTP.
Apa yang Diblokir
Menurut rencana Google, Chrome 83 (yang akan dirilis pada Juni 2020) akan mulai memblokir tipe file yang paling berisiko bagi pengguna. File jenis ini termasuk executeable file seperti .exe dan .apk. Di perilisan Chrome berikutnya, Google akan menyertakan tipe file dan pastinya memblokir semua tipe file pada Chrome 86, yang mana akan dirilis pada Oktober 2020. Jadi, setelah Oktober 2020 (jika Anda memperbarui browser Chrome) Anda tidak akan bisa mengunduh file apapun melalui HTTP meskipun Anda mengklik tombol download di website HTTPS sebelumnya.
Harap catat, jika website menggunakan HTTP, maka pengguna masih bisa mengunduh file di dalamnya. Pembaruan ini menargetkan website HTTPS yang menggunakan link url unduhan HTTP, karena pada browser menunjukan website untuk aman maka seluruh konten di dalamnya harus aman juga.
6 Tahap Google Melakukan Blokir
Walaupun proses pemblokiran akan dimulai dengan perilisan Chrome 83, pertama-tama Google ingin mengedukasikan pengguna dan memberikan waktu kepada pemiliki website untuk menghapus konten campuran dari situs HTTPS mereka. Itu’lah mengapa Chrome 81 akan memberikan konsol peringatan terkait unduhan konten campuran.
Proses ini, yang telah dimulai pada Maret telah dibagi menjadi 6 tahap oleh Google. Berikut garis besar yang diberikan Google bagi platform desktop (MacOS, Chrome, Windows, dan Linux):
- Chrome 81 (rilis Maret 2020) – Chrome akan menyetak pesan konsol untuk memperingati webmaster tentang unduhan konten campuran.
- Chrome 82 (rilis April 2020) – Chrome akan mulai memperingati pengguna tentang unduhan konten campuran executeable (.exe, .apk, dll) dan menyetak peringatan konsol untuk seluruh tipe file lainnya.
- Chrome 83 (rilis Juni 2020) – di sini’lah tahap pemblokiran dimulai. Chrome akan memblokir konten campuran executeable. Juga memperingati pengguna terhadap konten campuran archive (.zip, .iso, dll). Pesan peringatan untuk seluruh tipe file lainnya masih terus berlanjut.
- Chrome 84 (rilis Agustus 2020) – Chrome akan memperluas daftar blokirannya menjadi archive dan disk image. Pada tipe file konten campuran lainnya seperti .doc dan .pdf, Chrome akan memasang peringatan kepada pengguna. Untuk file gambar, audio, dan video konsol peringatan akan tetap berlanjut.
- Chrome 85 (rilis September 2020) – Chrome akan memblokir seluruh file unduhan kecuali gambar, audio, dan video. Pesan peringatan akan muncul sebelum pengguna mengunduhnya.
- Chrome 86 (rilis Oktober 2020) – Chrome akan memblokir seluruh file yang tersedia pada website HTTPS dengan link url HTTP atau singkatnya Chrome memblokir seluruh jenis konten campuran yang ada.
Untuk Android dan Ios, Chrome akan menunda setelah satunya rilis. Yang berarti pesan peringatan akan mulai bermunculan pada Chrome 83 bukan 82.
Meskipun Google telah berupaya keras untuk membuat website yang tidak aman menjadi HTTPS (secured), penanganan konten campuran merupakan tindakan yang tepat. Google sekarang sudah menargetkan terhadap konten campuran dan akan menjadi tombak penting untuk meningkatkan keamanan dan privasi di internet.
Sumber:
httwps://blog.chromium.org/2020/02/protecting-users-from-insecure.html