af Martin Brinkmann den 13. august 2021 i Firefox – Ingen kommentarer
Mozillas Firefox -webbrowser blokerer snart download af usikre filer i miljøer med blandet indhold.
Blandet indhold refererer til websteder, der bruger sikre forbindelser og usikre forbindelser. Forestil dig følgende scenario: du besøger et sikkert websted, der bruger HTTPS, og starter en download ved at klikke på et link. Den linkede ressource er ikke på en HTTPS -ressource, men på en HTTP -ressource; det er hvad blandet indhold i forbindelse med downloads refererer til.
Filer, der overføres via usikre forbindelser, kan manipuleres med, f.eks. af andre aktører på et netværk.
Firefox vil blokere usikre downloads, der snart stammer fra HTTPS -websteder, sandsynligvis i Firefox 92, der udkommer den 7. september 2021.
Firefox vil ikke downloade filen i dette tilfælde automatisk; browseren viser en advarsel i downloadpanelet – Filen er ikke downloadet. Potentiel sikkerhedsrisiko-med et rødt udråbstegnikon.
Et klik eller tryk på download i panelet åbner yderligere oplysninger og muligheder.
Firefox -brugere tillader muligvis download ved hjælp af prompten, der åbner eller fjerner filen.
Blokeringen sker kun på grund af den usikre forbindelse, ikke fordi filen har en virus eller andet uønsket indhold. Det kan stadig være en god idé at køre filen gennem en virusscanner eller tjeneste som Virustotal for at sikre, at den er ren og sandsynligvis uden fare.
Firefox 92 leveres med en præferencekontakt, der styrer adfærden. Det kan slås fra for at gendanne den tidligere downloadingsadfærd:
- Indlæs om: config i adresselinjen i Firefox.
- Bekræft, at du accepterer risikoen.
- Søg efter dom.block_download_insecure.
- Brug skifteikonet til at angive værdien til
- TRUE: for at holde sikkerhedsfunktionen aktiveret.
- FALSKT: for at deaktivere sikkerhedsfunktionen.
Mozilla bemærker, at omkring 98,5% af alle downloads i Firefox natligt bruger HTTPS. Med andre ord: 15 ud af 1000 downloads vil blive blokeret, når ændringen lander i Firefox Stable, forudsat at procentværdien er omtrent den samme.
Google introducerede blokering af downloads i en usikker kontekst tidligere på året i Chrome 86. De fleste Chrom-baserede browsere blokerer downloads fra HTTP-kilder, hvis den oprindelige side bruger HTTPS. Chrome viser en meddelelse i downloadpanelet, hvis en fil ikke kan downloades, fordi den stammer fra en HTTP -server. Chrome -brugere kan kassere eller beholde overførslen på samme måde som Firefox håndterer disse downloads.
Lukning af ord
HTTP -downloads, der stammer fra HTTPS -sider, blokeres som standard; brugere har mulighed for at tilsidesætte blokeringen og deaktivere sikkerhedsfunktionen helt.
Nu er du : hvad synes du om funktionen? God tilføjelse? (via Techdows)