Google ha proposto agli sviluppatori di browser di introdurre il blocco del download di tipi di file pericolosi se la pagina che rimanda al download viene aperta tramite HTTPS, ma il download viene avviato senza crittografia tramite HTTP.
Il problema è che non viene fornita alcuna indicazione di sicurezza durante il download, il file viene semplicemente scaricato in background. Quando si avvia un download di questo tipo da una pagina aperta tramite HTTP, l'utente viene già avvisato nella barra degli indirizzi che il sito non è sicuro. Ma se il sito viene aperto tramite HTTPS, nella barra degli indirizzi viene visualizzato un indicatore di connessione sicura e l'utente potrebbe avere la falsa impressione che il download avviato tramite HTTP sia sicuro, mentre il contenuto potrebbe essere sostituito a causa di attacchi dannosi attività.
Si propone di bloccare i file con estensioni exe, dmg, crx (estensioni Chrome), zip, gzip, rar, tar, bzip e altri formati di archivio popolari considerati particolarmente rischiosi e comunemente utilizzati per distribuire malware. Google prevede di aggiungere il blocco proposto solo alla versione desktop di Chrome, poiché Chrome per Android blocca già il download di pacchetti APK sospetti tramite Navigazione sicura.
I rappresentanti di Mozilla erano interessati alla proposta e hanno espresso la loro disponibilità a muoversi in questa direzione, ma hanno suggerito di raccogliere statistiche più dettagliate sul possibile impatto negativo sui sistemi di download esistenti. Ad esempio, alcune aziende praticano download non sicuri da siti protetti, ma la minaccia di compromissione viene eliminata firmando digitalmente i file.
Fonte: opennet.ru