Chrome gaat http-downloads van exe en zip op https-sites blokkeren

[Captain Kirk]

Om gebruikers tegen onveilige downloads te beschermen is Google van plan om bepaalde downloads op https-sites die via http plaatsvinden te blokkeren. Het gaat dan specifiek om downloads van uitvoerbare bestanden eindigend op .exe, .dmg en .crx en archiefbestanden zoals .zip, .gzip, .rar, .tar en .bzip.

Dat heeft Google-engineer Emily Stark op de webappsec-mailinglist aangekondigd. Volgens Stark wil Google het aantal onveilige downloads terugdringen, met name die risicovol zijn zoals uitvoerbare bestanden. "We willen de juiste balans vinden tussen compatibiliteit/gebruikersverstoring en veiligheidsverbeteringen", merkt Stark op. Daarom richt Google zich eerst op risicovolle downloads die vanuit een https-context worden gestart.

In dit geval gaat het om http-downloads die vanaf een https-site worden gestart. Stark wil dergelijke downloads als mixed content beschouwen en binnen de browser blokkeren. Google zal later cijfers over de mogelijke impact van de maatregel delen, maar stelt nu al dat het haalbaar is om bepaalde risicovolle bestandstypes gebaseerd op de content-type header of mime-type te blokkeren. De focus ligt daarbij op desktopgebruikers, aangezien Androidgebruikers al via Safe Browsing zijn beschermd. Wanneer de maatregel aan Chrome wordt toegevoegd is nog niet bekend.

 

 

bron: security.nl