谷歌建議瀏覽器開發人員引入阻止危險文件類型的下載的方法,如果涉及下載的頁面是透過HTTPS打開的,但下載是透過HTTP在沒有加密的情況下啟動的。
問題是下載過程中沒有安全指示,檔案只是在背景下載。 當從透過 HTTP 開啟的頁面啟動此類下載時,網址列中已經警告使用者該網站不安全。 但如果透過 HTTPS 開啟網站,網址列中會有安全連線的指示,使用者可能會誤以為使用 HTTP 啟動的下載是安全的,而內容可能會因惡意行為而被取代活動。
建議阻止副檔名為 exe、dmg、crx(Chrome 擴充功能)、zip、gzip、rar、tar、bzip 和其他被認為風險特別高且常用於分發惡意軟體的流行存檔格式的檔案。 谷歌計畫僅將提議的阻止添加到桌面版 Chrome 中,因為 Android 版 Chrome 已經透過安全瀏覽阻止了可疑 APK 套件的下載。
Mozilla 代表對該提案感興趣,並表示願意朝這個方向前進,但建議收集更詳細的統計數據,以了解對現有下載系統可能產生的負面影響。 例如,一些公司從安全網站進行不安全的下載,但透過對檔案進行數位簽章可以消除外洩威脅。
來源: opennet.ru