Google zaproponowało, aby twórcy przeglądarek wprowadzili blokowanie pobierania niebezpiecznych typów plików, jeśli strona odnosząca się do pobierania zostanie otwarta przez HTTPS, ale pobieranie zostanie zainicjowane bez szyfrowania przez HTTP.
Problem polega na tym, że podczas pobierania nie ma żadnej sygnalizacji bezpieczeństwa, plik jest pobierany w tle. Gdy takie pobieranie zostanie uruchomione ze strony otwartej za pośrednictwem protokołu HTTP, użytkownik zostanie już ostrzeżony w pasku adresu, że witryna jest niebezpieczna. Jeśli jednak witryna zostanie otwarta za pośrednictwem protokołu HTTPS, na pasku adresu pojawi się wskaźnik bezpiecznego połączenia i użytkownik może odnieść fałszywe wrażenie, że pobieranie rozpoczynające się za pomocą protokołu HTTP jest bezpieczne, a zawartość może zostać zastąpiona w wyniku złośliwego działania działalność.
Proponuje się blokowanie plików z rozszerzeniami exe, dmg, crx (rozszerzenia Chrome), zip, gzip, rar, tar, bzip i innych popularnych formatów archiwów, które są uważane za szczególnie ryzykowne i powszechnie wykorzystywane do dystrybucji złośliwego oprogramowania. Google planuje dodać proponowane blokowanie tylko do komputerowej wersji przeglądarki Chrome, ponieważ przeglądarka Chrome na Androida blokuje już pobieranie podejrzanych pakietów APK za pośrednictwem Bezpiecznego przeglądania.
Przedstawiciele Mozilli byli zainteresowani propozycją i wyrazili gotowość podążania w tym kierunku, ale zasugerowali zebranie bardziej szczegółowych statystyk na temat możliwego negatywnego wpływu na istniejące systemy pobierania. Na przykład niektóre firmy praktykują niebezpieczne pobieranie plików z bezpiecznych witryn, ale ryzyko naruszenia bezpieczeństwa jest usuwane poprzez cyfrowe podpisywanie plików.
Źródło: opennet.ru