Google har foreslått at nettleserutviklere innfører blokkering av nedlasting av farlige filtyper hvis siden som refererer til nedlastingen åpnes via HTTPS, men nedlastingen startes uten kryptering via HTTP.
Problemet er at det ikke er noen sikkerhetsindikasjon under nedlasting, filen lastes bare ned i bakgrunnen. Når en slik nedlasting startes fra en side åpnet via HTTP, blir brukeren allerede advart i adressefeltet om at siden er usikker. Men hvis nettstedet åpnes over HTTPS, er det en indikator på en sikker tilkobling i adressefeltet, og brukeren kan ha et falskt inntrykk av at nedlastingen som startes med HTTP er sikker, mens innholdet kan bli erstattet som et resultat av skadelig aktivitet.
Det foreslås å blokkere filer med utvidelsene exe, dmg, crx (Chrome-utvidelser), zip, gzip, rar, tar, bzip og andre populære arkivformater som anses som spesielt risikable og som ofte brukes til å distribuere skadelig programvare. Google planlegger å legge til den foreslåtte blokkeringen kun til skrivebordsversjonen av Chrome, siden Chrome for Android allerede blokkerer nedlasting av mistenkelige APK-pakker gjennom Safe Browsing.
Mozilla-representanter var interessert i forslaget og uttrykte sin vilje til å gå i denne retningen, men foreslo å samle inn mer detaljert statistikk om mulig negativ innvirkning på eksisterende nedlastingssystemer. Noen selskaper praktiserer for eksempel usikre nedlastinger fra sikre nettsteder, men trusselen om kompromiss fjernes ved å signere filene digitalt.
Kilde: opennet.ru