A Google azt javasolta, hogy a böngészőfejlesztők vezessék be a veszélyes fájltípusok letöltésének blokkolását, ha a letöltésre utaló oldalt HTTPS-en keresztül nyitják meg, de a letöltés titkosítás nélkül, HTTP-n keresztül indul.
A probléma az, hogy letöltés közben nincs biztonsági jelzés, csak a háttérben töltődik le a fájl. Amikor egy ilyen letöltés elindul egy HTTP-n keresztül megnyitott oldalról, a felhasználó már figyelmeztetést kap a címsorban, hogy a webhely nem biztonságos. Ha azonban a webhelyet HTTPS-en keresztül nyitják meg, akkor a címsávban a biztonságos kapcsolat jelzése látható, és a felhasználónak hamis benyomása lehet, hogy a HTTP-n keresztül indított letöltés biztonságos, miközben a tartalom rosszindulatú támadások következtében kicserélődhet. tevékenység.
Javasoljuk az exe, dmg, crx (Chrome-bővítmények), zip, gzip, rar, tar, bzip és más népszerű archív formátumok blokkolását, amelyeket különösen kockázatosnak tartanak, és gyakran használnak rosszindulatú programok terjesztésére. A Google azt tervezi, hogy a javasolt letiltást csak a Chrome asztali verziójához adja hozzá, mivel a Chrome Androidra már blokkolja a gyanús APK-csomagok letöltését a Biztonságos Böngészésen keresztül.
A Mozilla képviselői érdeklődtek a javaslat iránt, és kifejezték, hogy készek ebbe az irányba elmozdulni, de részletesebb statisztikák gyűjtését javasolták a meglévő letöltőrendszerekre gyakorolt esetleges negatív hatásokról. Egyes cégek például nem biztonságos letöltéseket végeznek biztonságos webhelyekről, de a fájlok digitális aláírásával megszűnik a kompromittálás veszélye.
Forrás: opennet.ru