Google on ehdottanut, että selainkehittäjät ottavat käyttöön vaarallisten tiedostotyyppien lataamisen eston, jos lataukseen viittaava sivu avataan HTTPS:n kautta, mutta lataus käynnistetään ilman salausta HTTP:n kautta.
Ongelmana on, että latauksen aikana ei ole tietoturvailmoitusta, tiedosto vain latautuu taustalla. Kun tällainen lataus käynnistetään HTTP:n kautta avatulta sivulta, käyttäjää varoitetaan jo osoitepalkissa, että sivusto on vaarallinen. Mutta jos sivusto avataan HTTPS:n kautta, osoiterivillä näkyy suojatun yhteyden ilmaisin ja käyttäjällä voi olla väärä käsitys siitä, että HTTP:llä käynnistettävä lataus on suojattu, kun taas sisältö voidaan korvata haitallisen toiminnan seurauksena. toiminta.
Ehdotetaan estettäväksi tiedostot, joiden tunniste on exe, dmg, crx (Chrome-laajennukset), zip, gzip, rar, tar, bzip ja muut suositut arkistomuodot, joita pidetään erityisen riskialttiina ja joita käytetään yleisesti haittaohjelmien levittämiseen. Google aikoo lisätä ehdotetun eston vain Chromen työpöytäversioon, koska Chrome Androidille estää jo epäilyttävien APK-pakettien lataamisen Selaussuojan kautta.
Mozillan edustajat olivat kiinnostuneita ehdotuksesta ja ilmaisivat valmiutensa edetä tähän suuntaan, mutta ehdottivat tarkempien tilastojen keräämistä mahdollisista negatiivisista vaikutuksista olemassa oleviin latausjärjestelmiin. Jotkut yritykset esimerkiksi harjoittelevat vaarallisia latauksia suojatuilta sivustoilta, mutta vaarantumisen uhka poistetaan allekirjoittamalla tiedostot digitaalisesti.
Lähde: opennet.ru