Главная особенность скрытых загрузок заключается в том, что они совершаются без какого-либо взаимодействия с пользователем. Google планирует заблокировать drive-by загрузки, которые, согласно стандартам компании, соответствуют непреднамеренным загрузкам. Новая функция безопасности будет реализована в браузере Google Chrome на всех поддерживаемых операционных системах, за исключением iOS.
Скрытые загрузки используются во многих атаках и вредоносных кампаниях для доставки вредоносного контента на устройство жертвы.
Совет: вы можете настроить ручную загрузку файлов в Chrome и других браузеров, чтобы избежать дополнительных рисков безопасности – для этого в меню chrome://settings/downloads включите параметр Всегда указывать место для скачивания.
По умолчанию Chrome загружает файлы автоматически (без запроса целевого расположения файла). Данное поведение привело к неприятной ситуации в системах Windows в 2017 году: файлы .scf загружались на компьютеры и автоматически обрабатывались Windows при открытии директории загрузок.
Инициализацию загрузок можно вызывать различными способами, например с помощью клика по ссылке на файл или кликнув правой кнопкой мыши по ссылке и выбрав опцию сохранения.
Согласно документу «Preventing Drive-By-Downloads in Sandboxed Iframes» загрузки будут автоматически блокироваться в Chrome, если они отвечают следующим требованиям:
- Загрузка инициализируется без взаимодействия с пользователем. Google отмечает, что существует два типа загрузок, которые попадают в данную категорию.
- Загрузка происходит в защищенном песочницей фрейме iframe.
- Фрейм не требует переходного жеста от пользователя в момент клика или навигации.
Google отмечает, что данное изменение затрагивает примерно 0,002% загрузок страниц. Компания признает, что существуют легитимные варианты использования функциональности, и отмечает, что законные издатели получат возможность обойти блокировку.
Реализация Google нацелена на вредоносную рекламу и рекламные кампании, используемые в первую очередь для распространения вредоносных загрузок.
Заинтересованные пользователи могут проверить статус ошибки на сайте Chromium, чтобы следить за развитием функциональности. Примечательно, что ошибка была опубликована еще в 2015 году. Пока неясно, когда эта функция станет доступной, но вполне вероятно, что она будет представлена в этом году.
Обновления программ, что нового
• Arm проиграл в суде: Qualcomm продолжит использовать технологию Oryon в своих процессорах
• Обновление Intel ARC Game On Driver 32.0.101.6253 Non-WHQL: Исправления для Intel Arc B-серии «Battlemage»
• OpenAI представила новые ИИ-модели o3 и o3-mini с возможностью «рассуждения»
• Samsung Display Assistant: Расширенное управление экраном Galaxy S24
• Обновление Intel Graphics Drivers (legacy) 31.0.101.2134 WHQL для процессоров Intel 7-10 поколения
• OpenAI анонсировала возможность позвонить ChatGPT