Google ir ierosinājusi pārlūkprogrammu izstrādātājiem ieviest bīstamu failu tipu lejupielādes bloķēšanu, ja lapa, kas atsaucas uz lejupielādi, tiek atvērta, izmantojot HTTPS, bet lejupielāde tiek uzsākta bez šifrēšanas, izmantojot HTTP.
Problēma ir tāda, ka lejupielādes laikā nav drošības norādes, fails tikai lejupielādējas fonā. Kad šāda lejupielāde tiek palaista no lapas, kas atvērta, izmantojot HTTP, lietotājs jau tiek brīdināts adreses joslā, ka vietne nav droša. Bet, ja vietne tiek atvērta, izmantojot HTTPS, adreses joslā ir droša savienojuma indikators, un lietotājam var rasties maldīgs priekšstats, ka lejupielāde, kas tiek palaista, izmantojot HTTP, ir droša, savukārt saturs var tikt aizstāts ļaunprātīgas darbības rezultātā. aktivitāte.
Tiek ierosināts bloķēt failus ar paplašinājumiem exe, dmg, crx (Chrome paplašinājumi), zip, gzip, rar, tar, bzip un citiem populāriem arhīvu formātiem, kas tiek uzskatīti par īpaši riskantiem un parasti tiek izmantoti ļaunprātīgas programmatūras izplatīšanai. Google plāno pievienot piedāvāto bloķēšanu tikai Chrome darbvirsmas versijai, jo pārlūks Chrome Android ierīcēm jau bloķē aizdomīgu APK pakotņu lejupielādi, izmantojot funkciju Droša pārlūkošana.
Mozilla pārstāvji interesējās par ierosinājumu un pauda gatavību virzīties šajā virzienā, taču ieteica apkopot sīkāku statistiku par iespējamo negatīvo ietekmi uz esošajām lejupielādes sistēmām. Piemēram, daži uzņēmumi praktizē nedrošas lejupielādes no drošām vietnēm, taču kompromisa draudi tiek novērsti, digitāli parakstot failus.
Avots: opennet.ru