Google een plan om nieuwe mechanismen toe te voegen ter bescherming tegen onveilige bestandsdownloads in Chrome. In Chrome 86, dat op 26 oktober uitkomt, is het downloaden van alle soorten bestanden via links van pagina's die via HTTPS zijn geopend alleen mogelijk als de bestanden worden aangeboden via het HTTPS-protocol. Opgemerkt wordt dat het downloaden van bestanden zonder codering kan worden gebruikt om kwaadaardige activiteiten uit te voeren door inhoudsvervanging tijdens MITM-aanvallen (malware die thuisrouters aanvalt, kan bijvoorbeeld gedownloade applicaties vervangen of vertrouwelijke documenten onderscheppen).
De blokkering zal geleidelijk worden geïmplementeerd, te beginnen met de release van Chrome 82, waarin een waarschuwing zal verschijnen wanneer wordt geprobeerd uitvoerbare bestanden op onveilige wijze te downloaden via links van HTTPS-pagina's. In Chrome 83 wordt het blokkeren van uitvoerbare bestanden ingeschakeld en wordt er een waarschuwing afgegeven voor archieven. Chrome 84 schakelt archiefblokkering en een waarschuwing voor documenten in. In Chrome 85 worden documenten geblokkeerd en verschijnt er een waarschuwing voor onveilige downloads van afbeeldingen, video's, audio en tekst, die in Chrome 86 worden geblokkeerd.
In de verdere toekomst zijn er plannen om de ondersteuning van bestandsuploads zonder codering volledig stop te zetten. In releases voor Android en iOS wordt de blokkering geïmplementeerd met een vertraging van één release (in plaats van Chrome 82 - in 83, enz.). In Chrome 81 verschijnt de optie “chrome://flags/#treat-unsafe-downloads-as-active-content” in de instellingen, waarmee u waarschuwingen kunt inschakelen zonder te wachten tot Chrome 82 wordt uitgebracht.
Bron: opennet.ru