Кампанія Google прапанавала распрацоўнікам браўзэраў увесці ў практыку блакаванне загрузкі небяспечных тыпаў файлаў, у выпадку, калі якая спасылаецца на загрузку старонка адчыненая па HTTPS, але загрузка ініцыюецца без шыфравання па HTTP.
Праблема заключаецца ў тым, што падчас загрузкі індыкацыя бяспекі адсутнічае, файл проста загружаецца ў фоне. Калі падобная загрузка запускаецца са старонкі, адчыненай па HTTP, карыстач ужо папярэджаны ў адрасным радку аб небяспецы сайта. Але калі сайт адкрыты па HTTPS, у адрасным радку стаіць індыкатар абароненага злучэння і ў карыстальніка можа стварыцца ілжывае адчуванне аб бяспецы запускаемай загрузкі, якая вырабляецца пры дапамозе HTTP, у той час як кантэнт можа быць падменены ў выніку шкоднаснай актыўнасці.
Прапануецца блакаваць файлы з пашырэннямі exe, dmg, crx (пашырэння Chrome), zip, gzip, rar, tar, bzip і іншыя папулярныя фарматы архіваў, якія разглядаюцца як асабліва рызыкоўныя і звычайна прымяняюцца для распаўсюджвання шкоднаснага ПЗ. Google плануе дадаць прапанаванае блакаванне толькі ў настольную версію Chrome, бо ў Chrome для Android праз Safe Browsing ужо рэалізавана блакаванне загрузкі падазроных пакетаў APK.
Прадстаўнікі Mozilla з цікавасцю ўспрынялі прапанову і выказалі гатоўнасць рухацца ў гэтым напрамку, але прапанавалі сабраць больш дэталёвую статыстыку аб магчымым негатыўным уплыве на існуючыя сістэмы загрузкі. Напрыклад, некаторыя кампаніі практыкуюць небяспечныя загрузкі з абароненых сайтаў, але пры гэтым пагроза кампраметацыі здымаецца праз запэўненне файлаў лічбавым подпісам.
Крыніца: opennet.ru