<div dir="ltr"><div dir="ltr">On Fri, 12 Apr 2019 at 19:29, Jonathan Kew <<a href="mailto:jfkthame@gmail.com" target="_blank">jfkthame@gmail.com</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 12/04/2019 21:30, Nelson H. F. Beebe wrote:<br>
> The SANS security list today carries a pointer to this story:<br>
> <br>
>       Google Chrome engineers want to block some HTTP file downloads<br>
>       <a href="https://www.zdnet.com/article/google-chrome-engineers-want-to-block-some-http-file-downloads/" rel="noreferrer" target="_blank">https://www.zdnet.com/article/google-chrome-engineers-want-to-block-some-http-file-downloads/</a><br>
> <br>
> The story notes:<br>
> <br>
>>> ...<br>
>>> According to a proposal the browser maker has put forward yesterday,<br>
>>> only the download of certain "high-risk" file types will be blocked by<br>
>>> default.<br>
>>><br>
>>> This includes EXE (Windows application binary), DMG (Mac application<br>
>>> binary), CRX (Chrome extension package), and all the major archive<br>
>>> formats, like ZIP, GZIP, BZIP, TAR, RAR, and 7Z.<br>
>>> ...<br>
> <br>
> I personally view this as totally wrong-headed, and also easily<br>
> subverted by the creation of encrypted data streams transferred under<br>
> innocuous names.  Nevertheless, if implemented, it could be a<br>
> significant problem for Web sites with downloadable content, include<br>
> TeX Live and CTAN mirrors.<br>
<br>
More precisely, the proposal (as I understand it) is to block downloads <br>
carried out via HTTP links from sites that themselves load via an HTTPS URL.<br>
<br></blockquote><div>Many sites that use HTTPS redirect HTTP links to HTTPS.   It would be</div><div>messy for browsers to check lHTTP inks for HTTPS redirects.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
So provided the downloads are also served via HTTPS (as they should be, <br>
to minimize the risk of tampering), they're not affected by this.<br></blockquote><div><br></div><div><div>Existing links in documents on the server will still have HTTP URL's, so</div></div><div>in practice, CTAN sites have to provide HTTP for the foreseeable </div><div>future.   </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
Perhaps it's time to enable HTTPS on those TL/CTAN mirrors....<br></blockquote><div><br></div><div>Different mirrors serve different client groups.  Some groups may rely on</div><div>legacy hardware that doesn't support current ciphers, so HTTPS may</div><div>not be practical for every mirror.    </div><div><br></div></div>-- <br><div dir="ltr" class="m_-2437046527145369018gmail_signature"><div dir="ltr"><div>George N. White III<br><br></div></div></div></div>