谷歌建议浏览器开发人员如果通过 HTTPS 打开引用下载的页面,但通过 HTTP 启动且未加密的下载,则应阻止危险文件类型的下载。
问题是下载过程中没有安全指示,文件只是在后台下载。 当从通过 HTTP 打开的页面启动此类下载时,地址栏中已经警告用户该站点不安全。 但如果通过 HTTPS 打开网站,地址栏中会有安全连接的指示,用户可能会误以为使用 HTTP 启动的下载是安全的,而内容可能会因恶意行为而被替换活动。
建议阻止扩展名为 exe、dmg、crx(Chrome 扩展)、zip、gzip、rar、tar、bzip 和其他被认为风险特别高且常用于分发恶意软件的流行存档格式的文件。 谷歌计划仅在桌面版 Chrome 中添加提议的阻止功能,因为 Android 版 Chrome 已经通过安全浏览阻止了可疑 APK 包的下载。
Mozilla 代表对该提案感兴趣,并表示愿意朝这个方向前进,但建议收集更详细的统计数据,了解对现有下载系统可能产生的负面影响。 例如,一些公司从安全站点进行不安全的下载,但通过对文件进行数字签名可以消除泄露威胁。
来源: opennet.ru