Mozilla将在10月份为Firefox增加一项新的安全功能,这将使恶意网页更难启动自动下载,并在用户的计算机上植入恶意软件文件。
这种类型的攻击被称为免费驾车下载,已经存在了20年,通常发生在用户访问包含攻击者放置在那里的恶意代码的网站时。
恶意代码的作用是滥用浏览器和Web标准中的合法功能来启动自动文件下载或下载提示,希望诱使用户运行恶意文件。
根据攻击者决定使用的浏览器功能,有多种形式的路过下载。
多年来,像Chrome、Firefox和Internet Explorer这样的浏览器已经逐渐部署了各种形式的保护,以防止自动路过下载,但100%的保护无法完全实现,因为浏览器制造商无法完全阻止合法的网络功能,也因为网络攻击的格局不断变化,攻击者总是找到新的漏洞来攻击。
浏览器制造商决定推出的最新一轮保护措施针对的是一种名为沙盒iFrames的技术,该技术通常用于在第三方网站上加载广告和可嵌入的小工具(视频、音乐曲目、播客)。浏览器制造商决定推出的最新一轮保护措施,针对的是一种名为沙盒iFrames的技术,该技术通常用于在第三方网站上加载广告和嵌入式小工具(视频、音乐和播客)。
这个想法是网站很少通过沙盒iframe发起下载,因为这些小部件中的大多数通常都是用来嵌入内容的。
2019年3月,随着Chrome 73的发布,Chrome率先屏蔽了沙盒iframes&34;发起的下载,2020年5月,该选项在Chrome 83中被完全删除。
本周,火狐也宣布了类似的计划。从计划于2020年10月发布的Firefox82开始,Firefox将屏蔽所有来自沙盒iFrame的文件下载。
唯一允许下载的情况是网站所有者或Web小部件提供商在iframe;上有允许下载标志,但是,大多数人没有,因为这存在安全风险,这也是他们在第一次使用沙盒iframe而不是经典iframe的原因之一。?
浏览器是一堆复杂的代码,这是宏伟计划中的一个小更新,但这通常是您构建安全产品的方式,在威胁到来时做出反应,并随着时间的推移进行一些细微的调整。
向Safari WebKit团队提出了类似的功能,但尚未制定实施计划。