Google navrhol, aby vývojári prehliadačov zaviedli blokovanie sťahovania nebezpečných typov súborov, ak sa stránka odkazujúca na sťahovanie otvorí cez HTTPS, ale sťahovanie sa spustí bez šifrovania cez HTTP.
Problém je v tom, že počas sťahovania neexistuje žiadna bezpečnostná indikácia, súbor sa iba sťahuje na pozadí. Keď sa takéto sťahovanie spustí zo stránky otvorenej cez HTTP, používateľ je už v paneli s adresou upozornený, že stránka nie je bezpečná. Ak je však stránka otvorená cez HTTPS, v paneli s adresou je indikátor zabezpečeného pripojenia a používateľ môže mať mylný dojem, že sťahovanie spúšťané pomocou HTTP je bezpečné, pričom obsah môže byť nahradený v dôsledku škodlivého činnosť.
Navrhuje sa blokovať súbory s príponami exe, dmg, crx (rozšírenia Chrome), zip, gzip, rar, tar, bzip a ďalšie populárne archívne formáty, ktoré sa považujú za obzvlášť rizikové a bežne sa používajú na distribúciu škodlivého softvéru. Google plánuje pridať navrhované blokovanie iba do počítačovej verzie prehliadača Chrome, pretože Chrome pre Android už blokuje sťahovanie podozrivých balíkov APK prostredníctvom Bezpečného prehliadania.
Zástupcovia Mozilly sa o návrh zaujímali a vyjadrili svoju pripravenosť pohnúť sa týmto smerom, no navrhli zozbierať podrobnejšie štatistiky o možnom negatívnom dopade na existujúce sťahovacie systémy. Niektoré spoločnosti napríklad praktizujú nebezpečné sťahovanie zo zabezpečených stránok, ale hrozba kompromitácie je odstránená digitálnym podpísaním súborov.
Zdroj: opennet.ru