Η Google έχει προτείνει οι προγραμματιστές του προγράμματος περιήγησης να απαγορεύουν τη λήψη επικίνδυνων τύπων αρχείων εάν η σελίδα που αναφέρεται στη λήψη ανοίγει μέσω HTTPS, αλλά η λήψη ξεκινά χωρίς κρυπτογράφηση μέσω HTTP.
Το πρόβλημα είναι ότι δεν υπάρχει ένδειξη ασφαλείας κατά τη λήψη, το αρχείο λαμβάνει απλώς στο παρασκήνιο. Όταν ξεκινά μια τέτοια λήψη από μια σελίδα που έχει ανοίξει μέσω HTTP, ο χρήστης έχει ήδη προειδοποιηθεί στη γραμμή διευθύνσεων ότι ο ιστότοπος δεν είναι ασφαλής. Ωστόσο, εάν ο ιστότοπος ανοίξει μέσω HTTPS, υπάρχει μια ένδειξη ασφαλούς σύνδεσης στη γραμμή διευθύνσεων και ο χρήστης μπορεί να έχει λανθασμένη εντύπωση ότι η λήψη που ξεκινά με χρήση HTTP είναι ασφαλής, ενώ το περιεχόμενο μπορεί να αντικατασταθεί ως αποτέλεσμα κακόβουλου δραστηριότητα.
Προτείνεται ο αποκλεισμός αρχείων με τις επεκτάσεις exe, dmg, crx (επεκτάσεις Chrome), zip, gzip, rar, tar, bzip και άλλες δημοφιλείς μορφές αρχειοθέτησης που θεωρούνται ιδιαίτερα επικίνδυνες και χρησιμοποιούνται συνήθως για τη διανομή κακόβουλου λογισμικού. Η Google σχεδιάζει να προσθέσει τον προτεινόμενο αποκλεισμό μόνο στην έκδοση για υπολογιστές του Chrome, καθώς το Chrome για Android αποκλείει ήδη τη λήψη ύποπτων πακέτων APK μέσω της Ασφαλούς περιήγησης.
Οι εκπρόσωποι της Mozilla ενδιαφέρθηκαν για την πρόταση και εξέφρασαν την ετοιμότητά τους να κινηθούν προς αυτή την κατεύθυνση, αλλά πρότειναν τη συλλογή πιο λεπτομερών στατιστικών για τις πιθανές αρνητικές επιπτώσεις στα υπάρχοντα συστήματα λήψης. Για παράδειγμα, ορισμένες εταιρείες εφαρμόζουν μη ασφαλείς λήψεις από ασφαλείς τοποθεσίες, αλλά η απειλή του συμβιβασμού εξαλείφεται με την ψηφιακή υπογραφή των αρχείων.
Πηγή: opennet.ru