Firefox 93 blokkeert standaard downloads via http op https-websites

[Captain Kirk]

Vandaag verschijnt Firefox 93 en één van de nieuwe features in de browser is het blokkeren van downloads op https-websites die via http plaatsvinden. Ook downloads in gesandboxte iframes worden voortaan standaard geblokkeerd, tenzij het iframe van een bepaald attribuut gebruikmaakt. Volgens Mozilla moet dit gebruikers tegen onveilige en zelfs ongewenste downloads beschermen.

"Het downloaden van bestanden via een onveilige http-verbinding vormt een groot beveiligingsrisico omdat via het http-protocol verstuurde data onbeschermd en onversleuteld is, waardoor aanvallers de verstuurde data kunnen bekijken, stelen of manipuleren", zegt Mozillas Sebastian Streich. "Anders gezegd, het downloaden van een bestand via een onbeveiligde verbinding laat een aanvaller het bestand door malafide content vervangen, die wanneer geopend tot een volledig gecompromitteerd systeem kan leiden."

Firefox 93 zal downloads via http op https-websites daarom standaard blokkeren. Gebruikers krijgen dan een pop-up te zien waarin voor een "potentieel beveiligingsrisico" wordt gewaarschuwd. Vervolgens hebben gebruikers de keuze om het bestand te verwijderen of de download toe te staan.

Drive-by downloads

Tevens zal de browser voortaan ook het downloaden van bestanden in gesandboxte iframes blokkeren. Volgens Mozilla kan malafide content in een iframe voor een drive-by download worden gebruikt, waarbij de gebruiker wordt verleid tot het downloaden van malafide bestanden. Tenzij de gesandboxte content van het 'allow-downloads' attribuut gebruikmaakt zal Firefox dergelijke downloads standaard en zonder verdere melding blokkeren.

 

bron: https://www.security.nl