Google je predložio da programeri pretraživača uvedu blokiranje preuzimanja opasnih tipova datoteka ako se stranica koja se odnosi na preuzimanje otvori putem HTTPS-a, ali se preuzimanje pokrene bez enkripcije putem HTTP-a.
Problem je u tome što nema sigurnosne indikacije tokom preuzimanja, datoteka se samo preuzima u pozadini. Kada se takvo preuzimanje pokrene sa stranice otvorene preko HTTP-a, korisnik je u adresnoj traci već upozoren da je stranica nesigurna. Ali ako se stranica otvori preko HTTPS-a, u adresnoj traci postoji indikator sigurne veze i korisnik može imati lažan dojam da je preuzimanje koje se pokreće putem HTTP-a sigurno, dok sadržaj može biti zamijenjen kao rezultat zlonamjernog aktivnost.
Predlaže se blokiranje datoteka s ekstenzijama exe, dmg, crx (proširenja za Chrome), zip, gzip, rar, tar, bzip i drugim popularnim arhivskim formatima koji se smatraju posebno rizičnim i koji se obično koriste za distribuciju zlonamjernog softvera. Google planira dodati predloženo blokiranje samo u desktop verziju Chromea, jer Chrome za Android već blokira preuzimanje sumnjivih APK paketa putem Sigurnog pregledavanja.
Predstavnici Mozille bili su zainteresirani za prijedlog i izrazili su spremnost da krenu u tom pravcu, ali su predložili prikupljanje detaljnije statistike o mogućem negativnom uticaju na postojeće sisteme preuzimanja. Na primjer, neke kompanije praktikuju nesigurna preuzimanja sa sigurnih lokacija, ali prijetnja kompromisa se uklanja digitalnim potpisivanjem datoteka.
izvor: opennet.ru