O Google propôs que os desenvolvedores de navegadores introduzissem o bloqueio de download de tipos de arquivos perigosos caso a página referente ao download fosse aberta via HTTPS, mas o download fosse iniciado sem criptografia via HTTP.
O problema é que não há indicação de segurança durante o download, o arquivo apenas é baixado em segundo plano. Quando esse download é iniciado a partir de uma página aberta via HTTP, o usuário já é avisado na barra de endereço que o site não é seguro. Mas se o site for aberto via HTTPS, há um indicador de conexão segura na barra de endereço e o usuário pode ter a falsa impressão de que o download que está sendo iniciado via HTTP é seguro, enquanto o conteúdo pode ser substituído como resultado de ataques maliciosos. atividade.
Propõe-se bloquear arquivos com extensões exe, dmg, crx (extensões do Chrome), zip, gzip, rar, tar, bzip e outros formatos de arquivo populares que são considerados particularmente arriscados e comumente usados para distribuir malware. O Google planeja adicionar o bloqueio proposto apenas à versão desktop do Chrome, uma vez que o Chrome para Android já bloqueia o download de pacotes APK suspeitos por meio da Navegação Segura.
Os representantes da Mozilla ficaram interessados na proposta e manifestaram a sua disponibilidade para avançar nesta direção, mas sugeriram a recolha de estatísticas mais detalhadas sobre o possível impacto negativo nos sistemas de download existentes. Por exemplo, algumas empresas praticam downloads inseguros de sites seguros, mas a ameaça de comprometimento é removida pela assinatura digital dos arquivos.
Fonte: opennet.ru