da Martin Brinkmann il 25 gennaio, 2019 in Google Chrome – 2 commenti
Google prevede di integrare una nuova funzionalità di protezione in compagnia del browser Chrome che presto si spera di proteggere gli utenti di Chrome da drive-by-download.
La caratteristica principale di drive-by-download, che avvengono senza l’interazione dell’utente e Google prevede di bloccare i download che hanno incontrato le aziende di definizione inatteso di download. Google prevede di implementare la funzionalità di google Chrome su tutti i sistemi operativi supportati, tranne per iOS di Apple sistema operativo.
Drive-by-download sono utilizzati in numerosi attacchi, ad esempio, malvertising campagne o spingendo payload dannosi al sistema di un utente.
Suggerimento: Si consiglia di impostare il download manuale in Chrome e altri browser, per evitare eventuali problemi. Chrome scarica automaticamente i file (senza chiedere), e che ha portato ad una situazione su sistemi Windows nel 2017 .scf file sono stati scaricati per le macchine (e trattati da Windows quando l’utente apre la directory di download).
I download vengono avviate attraverso una serie di metodi diversi, la maggior parte, ad esempio, facendo clic sul link di download o cliccando col tasto destro sul link di download e selezionando opzioni di salvataggio, richiedono l’interazione dell’utente.
Secondo il documento di progetto “Prevenzione Drive-By-Download in modalità Sandbox Iframe” — accesso qui — download non riuscirà a Chrome automaticamente se soddisfano le seguenti condizioni:
- Il download è iniziato senza l’interazione dell’utente. Google note che ci sono solo due tipi di download che rientrano nella categoria.
- Questo accade in un sandbox iframe.
- Il telaio non ha un transitorio utente gesto al momento di scegliere o di navigazione
Google rileva che circa 0,002% del caricamento della pagina sono interessati dal cambiamento. La società prende atto che vi sono casi di utilizzo legittimo di utilizzare la funzionalità e le note che la “percentuale di rottura è piccolo” e che legittima gli editori hanno un’opzione per bypassare il blocco.
Google attuazione obiettivi di malvertising, campagne pubblicitarie utilizzate per la diffusione di download pericolosi, in primo luogo.
Gli utenti interessati possono check-out ufficiale bug sul Cromo sito web per seguire lo sviluppo. È interessante notare che il bug è stato pubblicato nel 2015. Non è chiaro quando la funzione sarà disponibile ma sembra probabile che sarà introdotto quest’anno.
Ora: Qual è la tua opinione su la funzionalità? (via Fossbytes)