Google har föreslagit att webbläsarutvecklare ska införa blockering av nedladdning av farliga filtyper om sidan som refererar till nedladdningen öppnas via HTTPS, men nedladdningen initieras utan kryptering via HTTP.
Problemet är att det inte finns någon säkerhetsindikation under nedladdning, filen laddas bara ner i bakgrunden. När en sådan nedladdning startas från en sida som öppnas via HTTP, varnas användaren redan i adressfältet om att sidan är osäker. Men om webbplatsen öppnas över HTTPS finns det en indikator på en säker anslutning i adressfältet och användaren kan ha ett felaktigt intryck av att nedladdningen som startas med HTTP är säker, medan innehållet kan ersättas som ett resultat av skadlig aktivitet.
Det föreslås att man blockerar filer med tilläggen exe, dmg, crx (Chrome-tillägg), zip, gzip, rar, tar, bzip och andra populära arkivformat som anses särskilt riskfyllda och som ofta används för att distribuera skadlig programvara. Google planerar att lägga till den föreslagna blockeringen endast till skrivbordsversionen av Chrome, eftersom Chrome för Android redan blockerar nedladdningen av misstänkta APK-paket via Safe Browsing.
Mozilla-representanter var intresserade av förslaget och uttryckte sin beredvillighet att gå i denna riktning, men föreslog att man skulle samla in mer detaljerad statistik om de möjliga negativa effekterna på befintliga nedladdningssystem. Till exempel utövar vissa företag osäkra nedladdningar från säkra webbplatser, men hotet om kompromiss tas bort genom att digitalt signera filerna.
Källa: opennet.ru