Google hat den Browserentwicklern vorgeschlagen, das Herunterladen gefährlicher Dateitypen zu blockieren, wenn die Seite, die auf den Download verweist, über HTTPS geöffnet wird, der Download jedoch unverschlüsselt über HTTP initiiert wird.
Das Problem besteht darin, dass es während des Downloads keinen Sicherheitshinweis gibt; die Datei wird lediglich im Hintergrund heruntergeladen. Wenn ein solcher Download von einer über HTTP geöffneten Seite gestartet wird, wird der Benutzer bereits in der Adressleiste gewarnt, dass die Website unsicher ist. Wenn die Site jedoch über HTTPS geöffnet wird, gibt es in der Adressleiste einen Hinweis auf eine sichere Verbindung, und der Benutzer könnte den falschen Eindruck haben, dass der über HTTP gestartete Download sicher ist, während der Inhalt möglicherweise durch böswillige Inhalte ersetzt wird Aktivität.
Es wird vorgeschlagen, Dateien mit den Erweiterungen exe, dmg, crx (Chrome-Erweiterungen), zip, gzip, rar, tar, bzip und anderen gängigen Archivformaten zu blockieren, die als besonders riskant gelten und häufig zur Verbreitung von Malware verwendet werden. Google plant, die vorgeschlagene Blockierung nur für die Desktop-Version von Chrome hinzuzufügen, da Chrome für Android bereits den Download verdächtiger APK-Pakete durch Safe Browsing blockiert.
Vertreter von Mozilla waren an dem Vorschlag interessiert und äußerten ihre Bereitschaft, in diese Richtung zu gehen, schlugen jedoch vor, detailliertere Statistiken über die möglichen negativen Auswirkungen auf bestehende Download-Systeme zu sammeln. Einige Unternehmen praktizieren beispielsweise unsichere Downloads von sicheren Websites, die Gefahr einer Kompromittierung wird jedoch durch die digitale Signatur der Dateien beseitigt.
Source: opennet.ru