Бесплатно Экспресс-аудит сайта:

16.07.2020

В Chrome 84 появилась блокировка навязчивых уведомлений на сайтах

Компания Google выпустила версию браузера Google Chrome 84 для операционных систем Linux, Windows и macOS, повышающую безопасность пользователей в интернете. В новом выпуске появился новый Web OTP API, была удалена поддержка стандартов TLS 1.0 и TLS 1.1 и появилась блокировка всплывающих уведомлений на спам-сайтах.

Chrome 84 стал первым выпуском браузера, блокирующим всплывающие уведомления на web-сайтах, которые злоупотребляют данной функцией. Одним из примеров такого поведения являются сайты, требующие от пользователей разрешить уведомления, чтобы получить доступ к контенту ресурса, или которым предшествуют вводящие в заблуждение предварительные запросы. Проблемы с уведомлениями включают в себя также поддельные сообщения, похожие на сообщения чата, предупреждения или системные окна. Они могут быть использованы для осуществления фишинговых атак, в рамках которых мошенники пытаются обманом похитить персональную информацию, или рекламы различного вредоносного ПО. Всплывающие окна с уведомлениями на сайтах с подобным спамом теперь будут скрыты под значком в строке URL-адреса Chrome.

В браузере была реализована новая система Web OTP API, с помощью которой мобильные web-браузеры могут обнаруживать входящие SMS-сообщения, содержащие одноразовые пароли (OTP), отправленные в рамках процедур двухфакторной аутентификации (2FA). Новый API позволяет Chrome обнаруживать входящие SMS-сообщения и автоматически импортировать одноразовый код на web-страницу одним касанием пользователя. API был создан как для стандартизации OTP-кодов, так и для обеспечения защиты пользователей от фишинговых атак.

Google также удалила поддержку стандартов TLS 1.0 и TLS 1.1, поскольку они считаются небезопасными. Web-сайты, использующие данные стандарты, будут заблокированы в Chrome по умолчанию, и пользователи увидят соответствующее сообщение об ошибке. Chrome и все другие крупные браузеры объявили о планах по прекращению поддержки TLS 1.0 и TLS 1.1 еще в 2018 году, поэтому большинство web-сайтов уже обновили свои SSL-сертификаты.

Chrome будет отображать видимые предупреждения для файлов, загружаемых через HTTP с сайтов HTTPS. Google называет это «смешанным контентом» и считает подобную практику опасной, поскольку у пользователей создается впечатление, что они безопасно загружают файлы из-за HTTPS в адресной строке, тогда как фактическая загрузка происходит через HTTP.

Новая система оповещения о загрузках планировалось к внедрению в Chrome 82, но Google отложила ее до версии Chrome 84 из-за пандемии COVID-19.