Google a proposé aux développeurs de navigateurs d'introduire le blocage du téléchargement de types de fichiers dangereux si la page faisant référence au téléchargement est ouverte via HTTPS, mais que le téléchargement est lancé sans cryptage via HTTP.
Le problème est qu'il n'y a aucune indication de sécurité pendant le téléchargement, le fichier est simplement téléchargé en arrière-plan. Lorsqu'un tel téléchargement est lancé depuis une page ouverte via HTTP, l'utilisateur est déjà averti dans la barre d'adresse que le site n'est pas sécurisé. Mais si le site est ouvert via HTTPS, il y a un indicateur de connexion sécurisée dans la barre d'adresse et l'utilisateur peut avoir une fausse impression que le téléchargement lancé via HTTP est sécurisé, tandis que le contenu peut être remplacé à la suite d'un malware. activité.
Il est proposé de bloquer les fichiers avec les extensions exe, dmg, crx (extensions Chrome), zip, gzip, rar, tar, bzip et d'autres formats d'archives populaires considérés comme particulièrement risqués et couramment utilisés pour distribuer des logiciels malveillants. Google prévoit d'ajouter le blocage proposé uniquement à la version de bureau de Chrome, puisque Chrome pour Android bloque déjà le téléchargement de packages APK suspects via la navigation sécurisée.
Les représentants de Mozilla se sont montrés intéressés par la proposition et ont exprimé leur volonté d'aller dans cette direction, mais ont suggéré de collecter des statistiques plus détaillées sur l'impact négatif possible sur les systèmes de téléchargement existants. Par exemple, certaines entreprises pratiquent des téléchargements dangereux à partir de sites sécurisés, mais la menace de compromission est supprimée grâce à la signature numérique des fichiers.
Source: opennet.ru