image

Chrome gaat http-downloads van exe en zip op https-sites blokkeren

woensdag 10 april 2019, 16:12 door Redactie, 12 reacties

Om gebruikers tegen onveilige downloads te beschermen is Google van plan om bepaalde downloads op https-sites die via http plaatsvinden te blokkeren. Het gaat dan specifiek om downloads van uitvoerbare bestanden eindigend op .exe, .dmg en .crx en archiefbestanden zoals .zip, .gzip, .rar, .tar en .bzip.

Dat heeft Google-engineer Emily Stark op de webappsec-mailinglist aangekondigd. Volgens Stark wil Google het aantal onveilige downloads terugdringen, met name die risicovol zijn zoals uitvoerbare bestanden. "We willen de juiste balans vinden tussen compatibiliteit/gebruikersverstoring en veiligheidsverbeteringen", merkt Stark op. Daarom richt Google zich eerst op risicovolle downloads die vanuit een https-context worden gestart.

In dit geval gaat het om http-downloads die vanaf een https-site worden gestart. Stark wil dergelijke downloads als mixed content beschouwen en binnen de browser blokkeren. Google zal later cijfers over de mogelijke impact van de maatregel delen, maar stelt nu al dat het haalbaar is om bepaalde risicovolle bestandstypes gebaseerd op de content-type header of mime-type te blokkeren. De focus ligt daarbij op desktopgebruikers, aangezien Androidgebruikers al via Safe Browsing zijn beschermd. Wanneer de maatregel aan Chrome wordt toegevoegd is nog niet bekend.

Reacties (12)
10-04-2019, 16:23 door Happy Linux User - Bijgewerkt: 10-04-2019, 16:40
Lekker handig.
Als je al tar en zips gaat blokkeren.........
Ze kunnen dan beter een waarschuwing groot in het beeld aangeven en zorgen dat de hele kleine bestandjes van een extra melding voorzien worden.
Nog even en we mogen echt niks meer.

Ik werk gelukkig niet met Chrome....
10-04-2019, 17:11 door Anoniem
En zo wordt dus een nonsens gedachte gekweekt dat downloads die via https worden binnengehaald veilig zijn.
Maar het gaat slechts om een veilige verbinding.
Je zou via https dus best heel veilig malware kunnen downloaden, om er vervolgens evengoed je PC mee te besmetten...
10-04-2019, 17:24 door Anoniem
Niet echt nuttig lijkt mij want ik zie niet in welk probleem men hiermee probeert op te lossen. Dit is simpel te omzeilen door de bestanden over HTTPS aan te bieden of als binary blob over HTTP en aan de ontvangende kant te renamen / base decoden / whatever.
10-04-2019, 17:35 door Anoniem
Om de wereld echt veiliger te maken moet je geen Google gebuiken.
10-04-2019, 19:03 door Tha Cleaner
Door Anoniem: Om de wereld echt veiliger te maken moet je geen Google gebuiken.
Omdat?
Google doet een hoop goede dingen als je even verder kijkt dan je neus lang is. Sterker nog Google doet heel veel voor Security en staat er eigenlijk bekend om. Ze vinden heel veel bugs in de software. Hun login methode kan een heel hoop detecteren. Spam en Malware detectie in de mail is subliem. En ze houden een hele betrouwbare blacklist bij van malware websites.

Je haalt nu privacy en security door elkaar. En zelfs daar zit een groot verschil in met Google. Maar zelfs de zakelijke variant van Google heeft een hele reputatie op Security.
10-04-2019, 19:03 door Tha Cleaner
Door Anoniem: Om de wereld echt veiliger te maken moet je geen Google gebuiken.
Omdat?
Google doet een hoop goede dingen als je even verder kijkt dan je neus lang is. Sterker nog Google doet heel veel voor Security en staat er eigenlijk bekend om. Ze vinden heel veel bugs in de software. Hun login methode kan een heel hoop detecteren. Spam en Malware detectie in de mail is subliem. En ze houden een hele betrouwbare blacklist bij van malware websites.

Je haalt nu privacy en security door elkaar. En zelfs daar zit een groot verschil in met Google. Maar zelfs de zakelijke variant van Google heeft een hele reputatie op Security.
10-04-2019, 19:10 door [Account Verwijderd]
Zijn dat niet de zelfde baggeraars die de URL-balk weg wouden hebben boven in beeld omdat dat de security ten goeie zou komen? Zucht.

Tijd voor een internetrijbewijs in plaats van al die maatregelen die er moeten zijn voor volk dat eigenlijk niet met een PC om kan gaan.
11-04-2019, 00:08 door Anoniem
Door Tha Cleaner:
Door Anoniem: Om de wereld echt veiliger te maken moet je geen Google gebuiken.
Omdat?
Google doet een hoop goede dingen als je even verder kijkt dan je neus lang is. Sterker nog Google doet heel veel voor Security en staat er eigenlijk bekend om. Ze vinden heel veel bugs in de software. Hun login methode kan een heel hoop detecteren. Spam en Malware detectie in de mail is subliem. En ze houden een hele betrouwbare blacklist bij van malware websites.

Je haalt nu privacy en security door elkaar. En zelfs daar zit een groot verschil in met Google. Maar zelfs de zakelijke variant van Google heeft een hele reputatie op Security.

Stockholmsyndroom...
11-04-2019, 10:11 door Anoniem
Door Rexodus: Tijd voor een internetrijbewijs in plaats van al die maatregelen die er moeten zijn voor volk dat eigenlijk niet met een PC om kan gaan.
Vind ik niet eigenlijk. "Wij de techneuten" (nouja, de marketeers die "onze" producten verkochten) hebben altijd volgehouden dat er geen training nodig was en dat de technologie het wel op zou lossen. Nou, zorg maar dat de techniek het oplost. Aan het werk, stelletje lamzakken!

Of je moet toegeven dat je hard gefaald hebt en dat je het de eindgebruiker maar op laat lossen. Maar dan mag je beginnen met die eindgebruiker niet alleen de kennis, maar ook de vereiste --en geschikte!-- gereedschappen te bieden. En dat laatste, ook een stukje techniek, is nog in de verste verte niet het geval.

Dat is dan ook waarom "beveiligings"-"advies" vaak zo lachwekkend inept en slecht is: Het is alsof je zonder stuur een zogenaamd-maar-niet-heus zelfrijdende auto op de weg moet houden, zonder dat je daar de kennis of de vaardigheden voor hebt. Dagelijke kettingbotsingen zijn dan onvermijdelijk. Hoe je van mensen rijbewijsbare vaardigheden denkt te kunnen verlangen in autos zonder stuur, wat voor vaardigheden had je in gedachten?
11-04-2019, 12:51 door Anoniem
Door Anoniem: En zo wordt dus een nonsens gedachte gekweekt dat downloads die via https worden binnengehaald veilig zijn.
Maar het gaat slechts om een veilige verbinding.
Je zou via https dus best heel veilig malware kunnen downloaden, om er vervolgens evengoed je PC mee te besmetten...

Nee, Chrome biedt nu extra bescherming tegen MITM aanvallen die in dit geval je systeem kunnen overnemen. Aangezien zij geen nieuwe meldingen laten zien dat https-bestanden veilig zijn, zal Jan met de pet het verschil niet merken.
13-04-2019, 12:30 door Anoniem
ik mag hopen dat dit een 1 april grap is

want als je je hele site op https zet - wat tegenwoordig vrij standaard is - kan je dus geen ZIP files aanbieden
16-04-2019, 08:28 door Anoniem
Door Anoniem: ik mag hopen dat dit een 1 april grap is

want als je je hele site op https zet - wat tegenwoordig vrij standaard is - kan je dus geen ZIP files aanbieden

In de eerste paragraaf staat het niet heel duidelijk, maar aan het einde van de 2e en het begin van de 3e paragraaf staat duidelijk dat het gaat om http download links op een https website.

M.a.w. je kunt de ZIP bestanden prima aanbieden als download via https.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.