bloqueo descargas

Ojito que se acercan curvas.

Conocíamos hace apenas unos días de la mano del equipo de desarrollo de Chromium (ya sabes, el motor en el que está basado Chrome y cada vez más navegadores web) que a partir de Chrome 82, que será lanzado el próximo mes de abril, empezaremos a ver advertencias cuando intentemos descargar archivos de riesgo. Y lo más importante, que esto solo es una pieza más dentro del objetivo de Google de bloquear por defecto su descarga en un futuro próximo.

El tema, per sé, me parece muy interesante porque al igual que ha ido ocurriendo paulatinamente con la erradicación de las conexiones HTTP en favor del HTTPs, el roadmap montado por Google para erradicar las descargas fraudulentas tiene el siguiente formato:

  • Chrome 82: Como decíamos, marcará como potencialmente peligroso CUALQUIER ejecutable, empezando por los de Windows y Android (.exe y APK).
  • Chrome 83: Se añadirán a la ecuación archivos comprimidos, es decir, los de formatos como .7z, .zip o .iso, y bloquearán por defecto los ejecutables.
  • Chrome 84: Ahora les toca el turno a los formatos de ofimática potencialmente inseguros, como pueden ser los .pdf, .docx, bloqueando ya por defecto los comprimidos de la versión anterior.
  • Chrome 85: Aparecerá una alerta en las imágenes en .png o los archivos .mp3, y se bloqueará por defecto la descarga de los anteriores documentos.
  • Chrome 86: Con esta versión Chrome directamente bloqueará todo lo que considera inseguro.

Y Google no es el único que está en esta guerra.

Microsft Edge anunció hace un tiempo su objetivo de llegar a los mismos derroteros que Google solo que amparados por Windows Defender, que será el encargado de hacer esa discriminación entre documentos potencialmente seguros e inseguros en base a la reputación que tenga la web o dominio donde está alojado (EN).

¿Qué impacto puede tener esto en el paradigma de descargas actuales?

Pues mucho, la verdad.

De hecho ya lo comenté en su día con la decisión de Google de cerrarle el grifo al contenido mixto:

  • En Chrome 79 se añadirá añadió una opción en el panel de información del HTTPs (haciendo click sobre el candadito como puedes ver en la imagen superior) para que sea el usuario quien decida qué hacer con el contenido mixto.
  • En Chrome 80 todo recurso de audio y vídeo que no cargue por HTTPs se le forzará fuerza a que lo haga. Y si no es posible, por defecto se bloqueará bloquea. Si el contenido HTTP es una imagen y no es posible cargarla mediante HTTPs Chrome permitirá permite su visionado pero marcará marca esa página como «No segura».
  • Para Chrome 81 todo contenido que no pueda cargar mediante HTTPs se bloqueará por defecto.

Con este nuevo roadmap, en Chrome 86 se pondrá fin a todo lo que no cargue por HTTPs, descargas incluidas. Y de paso, sobre todo si en efecto el análisis se realiza más allá de la carga vía HTTPs (sobre la propia seguridad del documento) se va a poner en jaque a buena parte de la industria de la piratería y el malware.

Ya no es que tengan que engañar al usuario para que haga clic donde no debe, sino que aunque lo haga será el propio navegador quien bloquee esa descarga.

Lo que me lleva a pensar en el impacto que puede tener esto para todos los mercados que aunque legales son alternativos al marketplace de turno.

Una de las máximas de Android hasta el momento ha sido la de permitir que el usuario que tenga unos mínimos de conocimientos pueda descargar .apks de fuera de Google Play. Y esto en Windows con sus .exe ha representado la base de su éxito (a ver cuántos usuarios utilizan Windows Apps en su día a día…).

E iría aún más lejos, a todas esas descargas de programas y aplicaciones de Windows que aunque lícitas, utilizan en la instalación una suerte de patrones oscuros para que el usuario, sea o no consciente, instale basura extra.

¿Se meterán también en esos derroteros? Porque controlarlo de forma absolutista en base a listas blancas y negras se me antoja prácticamente imposible.

Y por otro lado, veo que es junto con la piratería uno de los principales vectores de infecciones del usuario básico…