Google on teinud ettepaneku brauseri arendajatel kehtestada ohtlike failitüüpide allalaadimise blokeerimine, kui allalaadimisele viitav leht avatakse HTTPS-i kaudu, kuid allalaadimine algatatakse ilma krüptimiseta HTTP kaudu.
Probleem on selles, et allalaadimise ajal pole turvamärguannet, fail laaditakse lihtsalt taustal alla. Kui selline allalaadimine käivitatakse HTTP kaudu avatud lehelt, hoiatatakse kasutajat juba aadressiribal, et sait on ebaturvaline. Kuid kui sait avatakse HTTPS-i kaudu, on aadressiribal turvalise ühenduse indikaator ja kasutajal võib jääda ekslik mulje, et HTTP-ga käivitatav allalaadimine on turvaline, samas kui sisu võib pahatahtliku sisu tõttu asendada. tegevust.
Tehakse ettepanek blokeerida failid laienditega exe, dmg, crx (Chrome'i laiendused), zip, gzip, rar, tar, bzip ja muud populaarsed arhiivivormingud, mida peetakse eriti riskantseks ja mida sageli kasutatakse pahavara levitamiseks. Google kavatseb lisada pakutud blokeerimise ainult Chrome'i töölauaversioonile, kuna Chrome Androidile blokeerib juba kahtlaste APK-pakettide allalaadimise ohutu sirvimise kaudu.
Mozilla esindajad tundsid ettepanekust huvi ja väljendasid valmisolekut selles suunas liikuda, kuid soovitasid koguda täpsemat statistikat võimaliku negatiivse mõju kohta olemasolevatele allalaadimissüsteemidele. Näiteks kasutavad mõned ettevõtted ebaturvalisi allalaadimisi turvalistelt saitidelt, kuid failide digitaalse allkirjastamise abil eemaldatakse kompromissi oht.
Allikas: opennet.ru