Google heeft voorgesteld dat browserontwikkelaars het downloaden van gevaarlijke bestandstypen blokkeren als de pagina die naar de download verwijst, wordt geopend via HTTPS, maar de download zonder encryptie via HTTP wordt gestart.
Het probleem is dat er geen beveiligingsindicatie is tijdens het downloaden; het bestand wordt alleen op de achtergrond gedownload. Wanneer een dergelijke download wordt gestart vanaf een pagina die via HTTP is geopend, wordt de gebruiker in de adresbalk al gewaarschuwd dat de site onveilig is. Maar als de site via HTTPS wordt geopend, is er een indicatie van een beveiligde verbinding in de adresbalk en kan de gebruiker de verkeerde indruk krijgen dat de download die via HTTP wordt gestart veilig is, terwijl de inhoud kan worden vervangen als gevolg van kwaadwillige aanvallen. activiteit.
Er wordt voorgesteld om bestanden met de extensies exe, dmg, crx (Chrome-extensies), zip, gzip, rar, tar, bzip en andere populaire archiefformaten te blokkeren die als bijzonder riskant worden beschouwd en vaak worden gebruikt om malware te verspreiden. Google is van plan de voorgestelde blokkering alleen toe te voegen aan de desktopversie van Chrome, aangezien Chrome voor Android het downloaden van verdachte APK-pakketten al blokkeert via Safe Browsing.
Mozilla-vertegenwoordigers waren geïnteresseerd in het voorstel en spraken hun bereidheid uit om in deze richting te gaan, maar stelden voor om meer gedetailleerde statistieken te verzamelen over de mogelijke negatieve impact op bestaande downloadsystemen. Sommige bedrijven doen bijvoorbeeld aan onveilige downloads vanaf beveiligde sites, maar de dreiging van compromissen wordt weggenomen door de bestanden digitaal te ondertekenen.
Bron: opennet.ru