Google предложил блокировать загрузку некоторых файлов через HTTP по ссылкам с HTTPS-сайтов
11 апреля 2019 года
Компания Google предложила разработчикам браузеров ввести в практику блокировку загрузки опасных типов файлов, в случае если ссылающаяся на загрузку страница открыта по HTTPS, но загрузка инициируется без шифрования по HTTP.
Проблема заключается в том, что во время загрузки индикация безопасности отсутствует, файл просто загружается в фоне. Когда подобная загрузка запускается со страницы, открытой по HTTP, пользователь уже предупреждён в адресной строке о небезопасности сайта. Но если сайт открыт по HTTPS, в адресной строке стоит индикатор защищённого соединения и у пользователя может создаться ложное ощущение о безопасности запускаемой загрузки, производимой при помощи HTTP, в то время как контент может быть подменён в результате вредоносной активности.
Предлагается блокировать файлы с расширениями exe, dmg, crx (расширения Chrome), zip, gzip, rar, tar, bzip и другие популярные форматы архивов, которые рассматриваются как особенно рискованные и обычно применяемые для распространения вредоносного ПО. Google планирует добавить предложенную блокировку только в настольную версию Chrome, так как в Chrome для Android через Safe Browsing уже реализована блокировка загрузки подозрительных пакетов APK.
Представители Mozilla с интересом восприняли предложение и выразили готовность двигаться в данном направлении, но предложили собрать более детальную статистику о возможном негативном влиянии на существующие системы загрузки. Например, некоторые компании практикуют небезопасные загрузки с защищённых сайтов, но при этом угроза компрометации снимается через заверение файлов цифровой подписью.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
