Google предложил блокировать загрузку некоторых файлов через HTTP по ссылкам с HTTPS-сайтов

Компания Google предложила разработчикам браузеров ввести в практику блокировку загрузки опасных типов файлов, в случае если ссылающаяся на загрузку страница открыта по HTTPS, но загрузка инициируется без шифрования по HTTP.

Проблема заключается в том, что во время загрузки индикация безопасности отсутствует, файл просто загружается в фоне. Когда подобная загрузка запускается со страницы, открытой по HTTP, пользователь уже предупреждён в адресной строке о небезопасности сайта. Но если сайт открыт по HTTPS, в адресной строке стоит индикатор защищённого соединения и у пользователя может создаться ложное ощущение о безопасности запускаемой загрузки, производимой при помощи HTTP, в то время как контент может быть подменён в результате вредоносной активности.

Предлагается блокировать файлы с расширениями exe, dmg, crx (расширения Chrome), zip, gzip, rar, tar, bzip и другие популярные форматы архивов, которые рассматриваются как особенно рискованные и обычно применяемые для распространения вредоносного ПО. Google планирует добавить предложенную блокировку только в настольную версию Chrome, так как в Chrome для Android через Safe Browsing уже реализована блокировка загрузки подозрительных пакетов APK.

Представители Mozilla с интересом восприняли предложение и выразили готовность двигаться в данном направлении, но предложили собрать более детальную статистику о возможном негативном влиянии на существующие системы загрузки. Например, некоторые компании практикуют небезопасные загрузки с защищённых сайтов, но при этом угроза компрометации снимается через заверение файлов цифровой подписью.

Источник: opennet.ru