Google đã đề xuất rằng các nhà phát triển trình duyệt nên chặn việc tải xuống các loại tệp nguy hiểm nếu trang đề cập đến nội dung tải xuống được mở qua HTTPS nhưng quá trình tải xuống được bắt đầu mà không cần mã hóa qua HTTP.
Vấn đề là không có dấu hiệu bảo mật trong quá trình tải xuống, tệp chỉ tải xuống ở chế độ nền. Khi quá trình tải xuống như vậy được khởi chạy từ một trang được mở qua HTTP, người dùng đã được cảnh báo trên thanh địa chỉ rằng trang web đó không an toàn. Nhưng nếu trang web được mở qua HTTPS, sẽ có chỉ báo về kết nối an toàn trên thanh địa chỉ và người dùng có thể có ấn tượng sai lầm rằng quá trình tải xuống được khởi chạy bằng HTTP là an toàn, trong khi nội dung có thể bị thay thế do phần mềm độc hại. hoạt động.
Chúng tôi đề xuất chặn các tệp có phần mở rộng exe, dmg, crx (tiện ích mở rộng của Chrome), zip, gzip, rar, tar, bzip và các định dạng lưu trữ phổ biến khác được coi là đặc biệt rủi ro và thường được sử dụng để phát tán phần mềm độc hại. Google có kế hoạch chỉ thêm tính năng chặn được đề xuất vào phiên bản Chrome dành cho máy tính để bàn, vì Chrome dành cho Android đã chặn việc tải xuống các gói APK đáng ngờ thông qua Duyệt web an toàn.
Đại diện của Mozilla quan tâm đến đề xuất này và bày tỏ sự sẵn sàng đi theo hướng này, nhưng đề nghị thu thập số liệu thống kê chi tiết hơn về tác động tiêu cực có thể xảy ra đối với các hệ thống tải xuống hiện có. Ví dụ: một số công ty thực hiện tải xuống không an toàn từ các trang web an toàn, nhưng mối đe dọa xâm phạm được loại bỏ bằng cách ký điện tử vào các tệp.
Nguồn: opennet.ru