Google ha propuesto que los desarrolladores de navegadores introduzcan el bloqueo de la descarga de tipos de archivos peligrosos si la página que hace referencia a la descarga se abre a través de HTTPS, pero la descarga se inicia sin cifrado a través de HTTP.
El problema es que no hay ninguna indicación de seguridad durante la descarga, el archivo simplemente se descarga en segundo plano. Cuando se inicia una descarga de este tipo desde una página abierta a través de HTTP, el usuario ya recibe una advertencia en la barra de direcciones de que el sitio no es seguro. Pero si el sitio se abre a través de HTTPS, hay un indicador de una conexión segura en la barra de direcciones y el usuario puede tener una impresión falsa de que la descarga que se inicia mediante HTTP es segura, mientras que el contenido puede ser reemplazado como resultado de una descarga maliciosa. actividad.
Se propone bloquear archivos con extensiones exe, dmg, crx (extensiones de Chrome), zip, gzip, rar, tar, bzip y otros formatos de archivo populares que se consideran particularmente riesgosos y comúnmente utilizados para distribuir malware. Google planea agregar el bloqueo propuesto solo a la versión de escritorio de Chrome, ya que Chrome para Android ya bloquea la descarga de paquetes APK sospechosos a través de Navegación segura.
Los representantes de Mozilla se interesaron por la propuesta y expresaron su disposición a avanzar en esta dirección, pero sugirieron recopilar estadísticas más detalladas sobre el posible impacto negativo en los sistemas de descarga existentes. Por ejemplo, algunas empresas practican descargas no seguras desde sitios seguros, pero la amenaza de compromiso se elimina firmando digitalmente los archivos.
Fuente: opennet.ru