Google Chrome增加拦截恶意下载的支持

谷歌正在增加对拦截网站 iframe 的自动下载的支持。这是攻击者在有或没有用户允许的情况下,在易受攻击的机器上实现恶意软件下载的首选技术之一。点击式(Drive-by)下载是指浏览器在没有用户允许的情况下载文件,这种方式可以通过恶意广告、iframe的后台或攻击者在网站上植入的恶意脚本完成,所以用户基本感觉不到。

Google Chrome增加拦截恶意下载的支持的照片 - 1

禁止 iframe 中的下载功能最初是由 Google 的 Mike West 在 2013 年 WHATWG (Web Hypertext Application Technology Working Group)邮件列表中提到的,并在 2017 年底,该建议在 WHATWG 的 GitHub 上重新被提及。

Google Chrome增加拦截恶意下载的支持的照片 - 2

它最终被 Chromium Project 的 Yao Xiao 所接受,他在一份名为“Preventing Drive-By-Downloads in Sandboxed Iframes” 的公开 Google 文档中发布了该功能的设计和核心原则的详细信息。

该功能支持“导航和模拟点击链接”触发的下载,这些链接可以在没有用户允许的情况下发生。

只有在满足以下所有条件时才会阻止下载:

  • 下载是通过或导航触发的,可以没有用户的手势。
  • 单击或导航发生在沙盒 iframe 中,除非令牌包含“allow-downloads-without-user-activation”关键字。
  • 在单击或导航时没有捕获用户手势的帧。

此功能助于防止恶意广告向互联网用户进行恶意下载操作。

在Chrome浏览器中添加此功能之前,如果希望保护自己免受恶意广告攻击,你可以通过阻止所有 JavaScript 和相关脚本运行实现,也可以通过过滤不受信任的和添加信任网站来做到这一点。

weinxin
N软网微信公众号扫一扫
观点新鲜独到,有料有趣,有互动、有情怀、有福利!关注科技,关注N软,让我们生活更加美好!

发表评论(请用社交帐号登录)

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: