Google har foreslået, at browserudviklere indfører blokering af download af farlige filtyper, hvis siden, der refererer til download, åbnes via HTTPS, men downloadingen startes uden kryptering via HTTP.
Problemet er, at der ikke er nogen sikkerhedsindikation under download, filen downloades bare i baggrunden. Når en sådan download startes fra en side, der åbnes via HTTP, bliver brugeren allerede advaret i adresselinjen om, at siden er usikker. Men hvis webstedet åbnes over HTTPS, er der en indikator for en sikker forbindelse i adresselinjen, og brugeren kan have et falsk indtryk af, at den download, der startes med HTTP, er sikker, mens indholdet kan blive erstattet som følge af ondsindet aktivitet.
Det foreslås at blokere filer med udvidelserne exe, dmg, crx (Chrome-udvidelser), zip, gzip, rar, tar, bzip og andre populære arkivformater, der anses for at være særligt risikable og almindeligvis brugt til at distribuere malware. Google planlægger kun at tilføje den foreslåede blokering til desktopversionen af Chrome, da Chrome til Android allerede blokerer download af mistænkelige APK-pakker gennem Safe Browsing.
Mozilla-repræsentanter var interesserede i forslaget og udtrykte deres vilje til at bevæge sig i denne retning, men foreslog at indsamle mere detaljerede statistikker om den mulige negative indvirkning på eksisterende downloadsystemer. For eksempel praktiserer nogle virksomheder usikre downloads fra sikre websteder, men truslen om kompromis fjernes ved digital signering af filerne.
Kilde: opennet.ru