af Martin Brinkmann på 25 januar 2019 i Google Chrome – Ingen kommentarer
Google har planer om at integrere en ny sikkerhedsfunktion i virksomhedens Chrome-browser snart, det håber vil beskytte Chrome-brugere fra drive-by-downloads.
Den vigtigste egenskab af drive-by-downloads er, at de ske uden bruger-interaktion, og Google har planer om at blokere downloads, der mødte de virksomheder, definition af utilsigtede downloads. Google har planer om at implementere funktionaliteten for Chrome på alle understøttede operativsystemer med undtagelse af Apples iOS-styresystem.
Drive-by-downloads er anvendt i talrige angreb, fx malvertising kampagner eller skubbe skadelige nyttelast, til en brugers system.
Tip: Du kan sætte downloads til manuel, Chrome og andre browsere, for at undgå eventuelle problemer. Chrome downloader filer automatisk (uden at spørge om placering), og det førte til en situation på Windows-systemer i 2017 .scf filerne blev downloadet til maskiner (og behandles af Vinduer, når brugeren har åbnet hente-mappe).
Downloads er iværksat gennem en række forskellige metoder, og de fleste, fx at klikke på download links eller højre-klikke på links til download, og vælge gem indstillinger, der kræver brugerinput.
I henhold til design dokument “Forebyggelse af Drive-By-Downloads i Sandboxed Iframes” — adgang til det her — downloads vil ikke i Chrome automatisk, hvis de opfylder følgende betingelser:
- Overførslen er iværksat uden interaktion fra brugeren. Google bemærker, at der kun er to typer af downloads, der falder i den kategori.
- Dette sker i en sandboxed iframe.
- Rammen ikke har en forbigående bruger gestus på tidspunktet for klik på eller navigation
Google bemærker, at omkring 0.002% af side belastninger er berørt af ændringen. Selskabet anerkender, at der er legitime use cases for hjælp funktionalitet og bemærker, at “andelen af brud er lille”, og at legitime udgivere har en mulighed for at omgå blokeringen.
Googles mål malvertising, reklamekampagner, der anvendes til at sprede ondsindede downloads, først og fremmest.
Interesserede brugere kan tjekke den officielle fejl på Chromium-website til at følge udviklingen. Det er interessant at bemærke, at fejlen blev offentliggjort i 2015. Det er uklart, hvornår den funktion, der vil blive til rådighed, men det forekommer sandsynligt, at det vil blive indført dette år.
Nu kan Du: Hvad er dit take på den funktion? (via Fossbytes)