Loading

Google protege usuários contra downloads inseguros no Google Chrome

Data da publicação: Sep 13, 2022
Descrição

A Google está realizando alterações gradativas no navegador Google Chrome para bloquear renderização de conteúdo misto e downloads de conteúdo misto. A partir de janeiro de 2021, a Google bloqueará downloads de arquivo HTTP de imagens, documentos e PDFs de sites HTTPS por padrão.

Este artigo concentra-se nos produtos centrais da Salesforce. Para os seguintes produtos, consulte:

Para outras nuvens e produtos, consulte a seção Como essa alteração afeta outras nuvens e produtos abaixo.

 

O que é afetado?

Essa alteração pode afetar a capacidade de seus usuários finais de acessar downloads ou imagens que não sejam de HTTPS iniciados em páginas seguras dentro do Salesforce.

  • Imagens

Uma imagem corrompida aparece para conteúdo como uma imagem ou um vídeo hospedado em uma página HTTP não segura quando ela é visualizada em uma página HTTPS segura. 

  • Downloads

Um erro resulta de links ou anexos hospedados em um site HTTP ou FTP não seguro quando eles são clicados de uma página da Web segura.

 

Qual ação você pode tomar?

Revise seu conteúdo personalizado e verifique se ele é apresentado por meio de um host HTTPS seguro. HTTPS usa criptografia de dados em trânsito (TLS) para impedir ataques, como man-in-middle. O método de configuração HTTPS pode mudar com base no serviço que você está usando. Use os links específicos do serviço acima para obter orientações adicionais sobre a configuração HTTPS. Para obter mais informações, leia o blog do Google Chrome.
 

Como essa alteração afeta outros produtos e nuvens?

A Salesforce Technology avaliou como essa alteração afeta seus produtos entre as nuvens e planeja atualizar esse artigo conforme mais informações ficarem disponíveis.
 

Commerce Cloud 

Analise os modelos de email personalizados em busca de conteúdo misto. Modelos de email personalizados controlados pelo cliente são a única área afetada por essa alteração.
 

Industries Cloud

Vlocity 

Analise classes do Apex e IU desenvolvida de modo personalizado quanto a possíveis problemas de conteúdo misto. IU desenvolvida de modo personalizado inclui páginas do Visualforce, componentes do Aura e conteúdo LWC ou HTML/CSS/JS veiculado por um host seguro. Para classes do Apex personalizadas, verifique variáveis de URL definidas no código ou em dados ou recebidas de APIs externas integradas e renderizadas na IU. Qualquer conteúdo não seguro integrado veiculado por um URL HTTP pode ser removido ou substituído por um host HTTPS seguro.
 

Experience Cloud (antigo Community Cloud) 

Audite suas páginas do Visualforce, componentes do Lightning e configuração da comunidade para garantir que não usem conteúdo misto. Garanta que quaisquer links que apontem para conteúdo para download criado ou configurado em seus componentes usem HTTPS.

Salesforce CMS Content
Para criação de mídia referenciada externamente, use "https://" seguro URLs para manter toda a funcionalidade de seu conteúdo. Mídia de referência externa com URLs não seguros não exibem mais as imagens em miniatura e visualizações nativamente.

 

Por que a Google está fazendo essa alteração?

Downloads inseguros são um risco à segurança e à privacidade dos usuários. Por exemplo, downloads não seguros podem ser trocados por malware por invasores. E bisbilhoteiros podem ler extratos bancários baixados de modo não seguro. Para resolver esses riscos, a Google planeja remover eventualmente o suporte para downloads inseguros no Chrome. A Google anunciou que o Chrome garantirá gradualmente que páginas seguras (HTTPS) façam download apenas de arquivos seguros. Em uma série de etapas descritas na seção da linha de tempo, o Chrome começa a bloquear downloads de conteúdo, ou seja, downloads não HTTPS iniciados em páginas seguras. Essa mudança segue um plano que a Google anunciou no ano passado de bloquear todos os sub-recursos inseguros em páginas seguras. Inicialmente, a Google está se concentrando em downloads inseguros iniciados em páginas seguras. Esses casos são preocupantes porque o Chrome não avisa os usuários de que a privacidade e segurança deles estão em risco.

 

Como posso obter mais informações?

Leia o blog do Google Chrome para obter informações detalhadas da Google e de sua linha de tempo esperada.

Resolução

Perguntas frequentes:

O que é conteúdo misto?

Páginas da Web são renderizadas por navegadores com base em dois protocolos: HTTP e HTTPS. Um site que segue o protocolo HTTPS é muito mais seguro do que um que use HTTP. Sites habilitados para HTTPS são criptografados, o que garante a autenticação, a integridade dos e dados e o sigilo. Porém, alguns sites carregam HTTPS e HTTP na mesma página, o que é chamado de conteúdo misto. A maioria dos sites com conteúdo misto têm recursos externos como imagens, vídeos, planilhas de estilo ou scripts carregados por meio de domínio HTTP. Embora a solicitação inicial seja enviada como HTTPS, depois que o conteúdo misto é renderizado no navegador Google Chrome, ele exibirá o site como inseguro, pois é possível que os recursos de HTTP possam prejudicar os usuários. 

 

Quais é o prazo para a alteração?

A distribuição planejada do Google Chrome começa com um aviso no navegador e, em seguida, avança para bloquear downloads de conteúdo misto. O cronograma de distribuição do Google Chrome é o apresentado a seguir. 

Tipo de conteúdo

Exemplos de arquivo

Aviso do navegador

Bloqueio

Executáveis

exe, apk

Chrome 84 (ago)

Chrome 85 (set)

Arquivos

zip, iso

Chrome 85 (set)

Chrome 86 (out)

Documentos

pdf, docx

Chrome 86 (out)

Chrome 87 (nov)

Multimídia

png, mp3

Chrome 87 (nov)

Chrome 89 (jan 2021)

 

O que não está incluído?

1. Sites/URLs apenas HTTP

O impacto parece ser específico para conteúdo não seguro mostrado em páginas seguras. Uma página apenas HTTP que mostre conteúdo apenas HTTP provavelmente não falhará.

2. Carregamento de página HTTP

A alteração não bloqueia o carregamento de um site em apenas HTTP ou a renderização de um email em um cliente de email sem segurança da camada de transporte (TLS). Assim, páginas apenas HTTP que não tenham HTTPS continuam funcionando.

Número do artigo do Knowledge

000389288

 
Carregando
Salesforce Help | Article