Google navrhl, aby vývojáři prohlížečů zavedli blokování stahování nebezpečných typů souborů, pokud je stránka odkazující na stahování otevřena přes HTTPS, ale stahování je zahájeno bez šifrování přes HTTP.
Problém je v tom, že během stahování není žádná bezpečnostní indikace, soubor se pouze stahuje na pozadí. Když je takové stahování spuštěno ze stránky otevřené přes HTTP, uživatel je již v adresním řádku varován, že stránka není bezpečná. Pokud je však stránka otevřena přes HTTPS, v adresním řádku je indikátor zabezpečeného připojení a uživatel může mít falešný dojem, že stahování spouštěné pomocí HTTP je bezpečné, zatímco obsah může být nahrazen v důsledku škodlivého aktivita.
Navrhuje se blokovat soubory s příponami exe, dmg, crx (přípony Chrome), zip, gzip, rar, tar, bzip a další oblíbené archivní formáty, které jsou považovány za zvláště rizikové a běžně používané k distribuci malwaru. Google plánuje přidat navrhované blokování pouze do desktopové verze Chrome, protože Chrome pro Android již blokuje stahování podezřelých balíčků APK prostřednictvím Bezpečného prohlížení.
Zástupci Mozilly se o návrh zajímali a vyjádřili svou připravenost jít tímto směrem, ale navrhli shromáždit podrobnější statistiky o možném negativním dopadu na stávající stahovací systémy. Některé společnosti například praktikují nebezpečné stahování ze zabezpečených stránek, ale hrozba kompromitace je odstraněna digitálním podepsáním souborů.
Zdroj: opennet.ru