Google предложи разработчиците на браузъри да въведат блокиране на изтеглянето на опасни типове файлове, ако страницата, отнасяща се до изтеглянето, е отворена чрез HTTPS, но изтеглянето е инициирано без криптиране чрез HTTP.
Проблемът е, че няма индикация за сигурност по време на изтегляне, файлът просто се изтегля във фонов режим. Когато такова изтегляне се стартира от страница, отворена чрез HTTP, потребителят вече е предупреден в адресната лента, че сайтът не е безопасен. Но ако сайтът е отворен през HTTPS, има индикатор за защитена връзка в адресната лента и потребителят може да има погрешно впечатление, че изтеглянето, стартирано чрез HTTP, е защитено, докато съдържанието може да бъде заменено в резултат на злонамерен дейност.
Предлага се да се блокират файлове с разширения exe, dmg, crx (разширения на Chrome), zip, gzip, rar, tar, bzip и други популярни архивни формати, които се считат за особено рискови и често използвани за разпространение на зловреден софтуер. Google планира да добави предложеното блокиране само към настолната версия на Chrome, тъй като Chrome за Android вече блокира изтеглянето на подозрителни APK пакети чрез Безопасно сърфиране.
Представителите на Mozilla се заинтересуваха от предложението и изразиха готовност да се движат в тази посока, но предложиха събиране на по-подробна статистика за възможното отрицателно въздействие върху съществуващите системи за изтегляне. Например, някои компании практикуват опасни изтегляния от защитени сайтове, но заплахата от компрометиране се премахва чрез цифрово подписване на файловете.
Източник: opennet.ru