Исходное сообщение
"Google предложил блокировать загрузку некоторых типов файлов..." Отправлено opennews, 11-Апр-19 19:15
Компания Google предложила (http://lists.w3.org/Archives/Public/public-webappsec/2019Apr...) разработчикам браузеров ввести в практику блокировку загрузки опасных типов файлов, в случае если ссылающаяся на загрузку страница открыта по HTTPS, но загрузка инициируется без шифрования по HTTP. Проблема заключается в том, что во время загрузки индикация безопасности отсутствует, файл просто загружается в фоне. Когда подобная загрузка запускается со страницы, открытой по HTTP, пользователь уже предупреждён в адресной строке о небезопасности сайта. Но если сайт открыт по HTTPS, в адресной строке стоит индикатор  защищённого соединения и  у пользователя может создаться ложное ощущение о безопасности запускаемой загрузки, производимой при помощи HTTP, в то время как контент может быть подменён в результате вредоносной активности. Предлагается блокировать файлы с расширениями EXE, DMG, CRX (расширения Chrome), APK, ZIP, TAR и другие популярные форматы архивов, которые рассматриваются как особенно рискованные и обычно применяемые для распространения вредоносного ПО. Google планирует добавить предложенную блокировку только в настольную версию Chrome, так как в Chrome  для Android через Safe Browsing уже реализована блокировка загрузки подозрительных пакетов APK. Представители Mozilla с интересом восприняли (http://lists.w3.org/Archives/Public/public-webappsec/2019Apr...) предложение и выразили готовность двигаться в данном направлении, но предложили собрать более детальную статистику о возможном негативном влиянии на существующие системы загрузки. Например, некоторые компании практикуют небезопасные загрузки с защищённых сайтов, но при этом угроза компрометации снимается через заверение файлов цифровой подписью. URL: https://www.zdnet.com/article/google-chrome-engineers-want-t.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=50494