di Martin Brinkmann il 13 agosto 2021 in Firefox – Nessun commento
Il browser web Firefox di Mozilla bloccherà presto il download di file non sicuri in ambienti con contenuti misti.
I contenuti misti si riferiscono a siti che utilizzano connessioni sicure e non sicure connessioni. Immagina il seguente scenario: visiti un sito sicuro che utilizza HTTPS e avvii un download facendo clic su un collegamento. La risorsa collegata non si trova su una risorsa HTTPS, ma su una risorsa HTTP; questo è ciò a cui si riferiscono i contenuti misti nel contesto dei download.
I file trasferiti tramite connessioni non sicure possono essere manomessi, ad esempio da altri attori su una rete.
Firefox lo farà bloccare presto i download non sicuri originati da siti HTTPS, probabilmente in Firefox 92, che verrà rilasciato il 7 settembre 2021.
Firefox non scaricherà automaticamente il file in questo caso; il browser visualizza un avviso nel pannello di download — File non scaricato. Potenziale rischio per la sicurezza — con un'icona con un punto esclamativo rosso.
Un clic o un tocco sul download nel pannello apre ulteriori informazioni e opzioni.
Gli utenti di Firefox possono consentire il download utilizzando il prompt che apre o rimuove il file.
Il blocco avviene solo a causa della connessione non sicura, non perché il file ha un virus o altri contenuti indesiderati. Potrebbe essere comunque una buona idea eseguire il file tramite uno scanner antivirus o un servizio come Virustotal per assicurarsi che sia pulito e probabilmente senza pericoli.
Firefox 92 viene fornito con un interruttore delle preferenze che controlla il comportamento. Può essere disattivato per ripristinare il comportamento di download precedente:
- Carica about:config nella barra degli indirizzi di Firefox.
- Conferma di accettare il rischio.
- Cerca dom.block_download_insecure.
- Utilizza l'icona di commutazione per impostare il valore su
- TRUE: per mantenere la funzione di sicurezza abilitata.
- FALSO: per disabilitare la funzione di sicurezza.
Mozilla rileva che circa il 98,5% di tutti i download in Firefox Nightly utilizza HTTPS. In altre parole: 15 download su 1000 verranno bloccati una volta che il cambiamento arriverà in Firefox Stable, a condizione che il valore percentuale sia più o meno lo stesso.
Google ha introdotto il blocco dei download in un contesto insicuro all'inizio di quest'anno in Chrome 86. La maggior parte dei browser basati su Chromium blocca i download da origini HTTP se la pagina di origine utilizza HTTPS. Chrome visualizza una notifica nel pannello di download se un file non può essere scaricato perché ha origine da un server HTTP. Gli utenti di Chrome possono eliminare o mantenere il download, in modo simile a come Firefox gestisce questi download.
Parole di chiusura
I download HTTP che hanno origine su pagine HTTPS verranno bloccati per impostazione predefinita; gli utenti hanno la possibilità di ignorare il blocco e disabilitare completamente la funzione di sicurezza.
Ora tu: qual è la tua opinione sulla funzione? Buona aggiunta? (tramite Techdows)