Google propuxo que os desenvolvedores de navegadores introduzan o bloqueo da descarga de tipos de ficheiros perigosos se a páxina que fai referencia á descarga se abre a través de HTTPS, pero a descarga se inicia sen cifrar a través de HTTP.
O problema é que non hai ningunha indicación de seguridade durante a descarga, o ficheiro só se descarga en segundo plano. Cando se inicia unha descarga deste tipo desde unha páxina aberta a través de HTTP, o usuario xa é avisado na barra de enderezos de que o sitio non é seguro. Pero se o sitio se abre a través de HTTPS, hai un indicador de conexión segura na barra de enderezos e o usuario pode ter unha falsa impresión de que a descarga que se inicia mediante HTTP é segura, mentres que o contido pode ser substituído como resultado dunha acción maliciosa. actividade.
Proponse bloquear ficheiros coas extensións exe, dmg, crx (extensións de Chrome), zip, gzip, rar, tar, bzip e outros formatos de arquivo populares que se consideran particularmente arriscados e que se usan habitualmente para distribuír malware. Google planea engadir o bloqueo proposto só á versión de escritorio de Chrome, xa que Chrome para Android xa bloquea a descarga de paquetes APK sospeitosos a través da Navegación segura.
Os representantes de Mozilla mostráronse interesados na proposta e expresaron a súa disposición a avanzar nesta dirección, pero suxeriron recoller estatísticas máis detalladas sobre o posible impacto negativo nos sistemas de descarga existentes. Por exemplo, algunhas empresas practican descargas inseguras desde sitios seguros, pero a ameaza de compromiso elimínase asinando dixitalmente os ficheiros.
Fonte: opennet.ru