Главная особенность скрытых загрузок заключается в том, что они совершаются без какого-либо взаимодействия с пользователем. Google планирует заблокировать drive-by загрузки, которые, согласно стандартам компании, соответствуют непреднамеренным загрузкам. Новая функция безопасности будет реализована в браузере Google Chrome на всех поддерживаемых операционных системах, за исключением iOS.
Скрытые загрузки используются во многих атаках и вредоносных кампаниях для доставки вредоносного контента на устройство жертвы.
Совет: вы можете настроить ручную загрузку файлов в Chrome и других браузеров, чтобы избежать дополнительных рисков безопасности – для этого в меню chrome://settings/downloads включите параметр Всегда указывать место для скачивания.
По умолчанию Chrome загружает файлы автоматически (без запроса целевого расположения файла). Данное поведение привело к неприятной ситуации в системах Windows в 2017 году: файлы .scf загружались на компьютеры и автоматически обрабатывались Windows при открытии директории загрузок.
Инициализацию загрузок можно вызывать различными способами, например с помощью клика по ссылке на файл или кликнув правой кнопкой мыши по ссылке и выбрав опцию сохранения.
Согласно документу «Preventing Drive-By-Downloads in Sandboxed Iframes» загрузки будут автоматически блокироваться в Chrome, если они отвечают следующим требованиям:
- Загрузка инициализируется без взаимодействия с пользователем. Google отмечает, что существует два типа загрузок, которые попадают в данную категорию.
- Загрузка происходит в защищенном песочницей фрейме iframe.
- Фрейм не требует переходного жеста от пользователя в момент клика или навигации.
Google отмечает, что данное изменение затрагивает примерно 0,002% загрузок страниц. Компания признает, что существуют легитимные варианты использования функциональности, и отмечает, что законные издатели получат возможность обойти блокировку.
Реализация Google нацелена на вредоносную рекламу и рекламные кампании, используемые в первую очередь для распространения вредоносных загрузок.
Заинтересованные пользователи могут проверить статус ошибки на сайте Chromium, чтобы следить за развитием функциональности. Примечательно, что ошибка была опубликована еще в 2015 году. Пока неясно, когда эта функция станет доступной, но вполне вероятно, что она будет представлена в этом году.
Обновления программ, что нового
• Google выпустила Android 16 Beta 4 — финальный этап перед стабильной версией
• Google переходит на единый домен для всех стран: Google.com заменит региональные версии
• Perplexity может заменить Gemini на устройствах Samsung
• OpenAI представила «рассуждающие» модели o3 и o4-mini, способные использовать все инструменты ChatGPT
• Apple выпустила iOS 18.4.1 с исправлениями ошибок
• Обновление NVIDIA GeForce Game Ready 576.02 WHQL. Поддержка GeForce RTX 5060 Ti и исправление многочисленных проблем