谷歌 計劃新增新機制以防止 Chrome 中不安全的檔案下載。 在計劃於 86 月 26 日發布的 Chrome XNUMX 中,只有使用 HTTPS 協定提供檔案時,才可以透過 HTTPS 開啟的頁面中的連結下載所有類型的檔案。 值得注意的是,下載未加密的檔案可用於在 MITM 攻擊期間透過內容替換來執行惡意活動(例如,攻擊家庭路由器的惡意軟體可以替換下載的應用程式或攔截機密文件)。
該封鎖將逐步實施,從 Chrome 82 的發布開始,當嘗試透過 HTTPS 頁面的連結不安全地下載可執行檔時,將開始出現警告。 在 Chrome 83 中,將對可執行檔啟用阻止,並且將開始對存檔發出警告。 Chrome 84 將啟用存檔封鎖和文件警告。 在 Chrome 85 中,文件將被阻止,並且對於圖像、視訊、音訊和文字的不安全下載將開始出現警告,這些內容將在 Chrome 86 中開始被阻止。
在更遙遠的未來,計劃完全停止支援不加密的檔案上傳。 在 Android 和 iOS 版本中,阻止將延遲一個版本來實現(而不是 Chrome 82 - 83 等)。 在 Chrome 81 中,設定中將出現「chrome://flags/#treat-unsafe-downloads-as-active-content」選項,這將允許您啟用警告,而無需等待 Chrome 82 發布。
來源: opennet.ru