door Martin Brinkmann op 13 augustus 2021 in Firefox – Geen reacties
Mozilla's Firefox-webbrowser blokkeert binnenkort het downloaden van onveilige bestanden in omgevingen met gemengde inhoud.
Gemengde inhoud verwijst naar sites die beveiligde verbindingen gebruiken en onveilige verbindingen. Stel je het volgende scenario voor: je bezoekt een beveiligde site die HTTPS gebruikt en start een download door op een link te klikken. De gekoppelde bron bevindt zich niet op een HTTPS-bron, maar op een HTTP-bron; dit is waar gemengde inhoud in de context van downloads naar verwijst.
Bestanden die worden overgedragen via onveilige verbindingen kunnen worden gemanipuleerd, bijvoorbeeld door andere actoren op een netwerk.
Firefox zal dat doen blokkeer onveilige downloads die afkomstig zijn van HTTPS-sites binnenkort, waarschijnlijk in Firefox 92, dat op 7 september 2021 wordt uitgebracht.
Firefox zal het bestand in dit geval niet automatisch downloaden; de browser geeft een waarschuwing weer in het downloadpaneel — Bestand niet gedownload. Potentieel veiligheidsrisico — met een rood uitroepteken.
Een klik of tik op de download in het paneel opent aanvullende informatie en opties.
Firefox-gebruikers kunnen de download toestaan via de prompt die het bestand opent of verwijdert.
De blokkering gebeurt alleen vanwege de onveilige verbinding, niet omdat het bestand een virus of andere ongewenste inhoud bevat. Het kan nog steeds een goed idee zijn om het bestand door een virusscanner of service zoals Virustotal te laten lopen om er zeker van te zijn dat het schoon is en waarschijnlijk zonder gevaar.
Firefox 92 wordt geleverd met een voorkeursschakelaar die het gedrag regelt. Het kan worden uitgeschakeld om het vorige downloadgedrag te herstellen:
- Laad about:config in de adresbalk van Firefox.
- Bevestig dat u het risico accepteert.
- Zoek naar dom.block_download_insecure.
- Gebruik het schakelpictogram om in te stellen de waarde to
- TRUE: om de beveiligingsfunctie ingeschakeld te houden.
- ONWAAR: om de beveiligingsfunctie uit te schakelen.
Mozilla merkt op dat ongeveer 98,5% van alle downloads in Firefox Nightly HTTPS gebruiken. Met andere woorden: 15 op de 1000 downloads worden geblokkeerd zodra de wijziging in Firefox Stable belandt, op voorwaarde dat de procentuele waarde ongeveer hetzelfde is.
Google introduceerde het blokkeren van downloads in een onveilige context eerder dit jaar in Chrome 86. De meeste op Chromium gebaseerde browsers blokkeren downloads van HTTP-bronnen als de oorspronkelijke pagina HTTPS gebruikt. Chrome geeft een melding weer in het downloadpaneel als een bestand niet kan worden gedownload omdat het afkomstig is van een HTTP-server. Chrome-gebruikers kunnen de download weggooien of behouden, net zoals Firefox met deze downloads omgaat.
Slotwoorden
HTTP-downloads die afkomstig zijn van HTTPS-pagina's worden geblokkeerd standaard; gebruikers hebben wel de mogelijkheid om de blokkering op te heffen en de beveiligingsfunctie volledig uit te schakelen.
Nu jij: wat is jouw mening over de functie? Goede aanvulling? (via Techdows)