谷歌 计划添加新机制以防止 Chrome 中的不安全文件下载。 在计划于 86 月 26 日发布的 Chrome XNUMX 中,只有使用 HTTPS 协议提供文件时,才可以通过 HTTPS 打开的页面中的链接下载所有类型的文件。 值得注意的是,下载未加密的文件可用于在 MITM 攻击期间通过内容替换来执行恶意活动(例如,攻击家庭路由器的恶意软件可以替换下载的应用程序或拦截机密文档)。
该阻止将逐步实施,从 Chrome 82 的发布开始,当尝试通过 HTTPS 页面的链接不安全地下载可执行文件时,将开始发出警告。 在 Chrome 83 中,将对可执行文件启用阻止,并且将开始对存档发出警告。 Chrome 84 将启用存档阻止和文档警告。 在 Chrome 85 中,文档将被阻止,并且对于图像、视频、音频和文本的不安全下载将开始出现警告,这些内容将在 Chrome 86 中开始被阻止。
在更遥远的未来,计划完全停止支持不加密的文件上传。 在 Android 和 iOS 版本中,阻止将延迟一个版本来实现(而不是 Chrome 82 - 83 等)。 在 Chrome 81 中,设置中将出现“chrome://flags/#treat-unsafe-downloads-as-active-content”选项,这将允许您启用警告,而无需等待 Chrome 82 发布。
来源: opennet.ru