Компанія Google запропонувала розробникам браузерів ввести в практику блокування завантаження небезпечних типів файлів, якщо сторінка, що посилається на завантаження, відкрита по HTTPS, але завантаження ініціюється без шифрування по HTTP.
Проблема полягає в тому, що під час завантаження відсутня індикація безпеки, файл просто завантажується у фоні. Коли таке завантаження запускається зі сторінки, відкритої за HTTP, користувач уже попереджений в адресному рядку про небезпеку сайту. Але якщо сайт відкритий по HTTPS, в адресному рядку стоїть індикатор захищеного з'єднання і у користувача може виникнути помилкове відчуття про безпеку завантаження, що виробляється за допомогою HTTP, в той час як контент може бути підмінений в результаті шкідливої активності.
Пропонується блокувати файли з розширеннями exe, dmg, crx (розширення Chrome), zip, gzip, rar, tar, bzip та інші популярні формати архівів, які розглядаються як особливо ризиковані та зазвичай застосовуються для розповсюдження шкідливого ПЗ. Google планує додати запропоноване блокування тільки в настільну версію Chrome, тому що в Chrome для Android через Safe Browsing вже реалізовано блокування завантаження підозрілих пакетів APK.
Представники Mozilla з цікавістю сприйняли пропозицію та висловили готовність рухатися в даному напрямку, але запропонували зібрати детальнішу статистику про можливий негативний вплив на існуючі системи завантаження. Наприклад, деякі компанії практикують небезпечні завантаження із захищених сайтів, але загроза компрометації знімається через завірення файлів цифровим підписом.
Джерело: opennet.ru