Google planea integrar nuevas funcionalidades en el navegador web Chrome de la compañía para “reducir las descargas no seguras” y así disminuir el impacto que las descargas maliciosas tienen en los usuarios de Chrome.
La compañía planea abordar las descargas HTTP que se originan en sitios HTTPS específicamente.
Aunque un sitio puede usar HTTPS, las descargas enlazadas pueden seguir usando HTTP y no HTTPS. Los usuarios de Internet no se enterarán de ello a menos que comprueben el enlace de alguna manera, por ejemplo, comprobando el código fuente o utilizando las herramientas de desarrollo del navegador (lo que probablemente no sea posible).
Nirsoft dirige un sitio HTTP y HTTPS lado a lado.
El cambio afecta a ciertos tipos de archivos de alto riesgo que los autores de malware utilizan predominantemente para propagar el malware. Google enumera específicamente los siguientes tipos de archivos:
- exe (Windows)
- dmg (Mac OS X)
- crx (Extensiones de cromo)
- zip, gzip, bzip, tar, rar, y 7z (formatos de archivo)
Chrome usaría cabeceras de tipo contenido o mimetismo para determinar el tipo de archivo de la descarga.
Google considera la posibilidad de bloquear los archivos que coinciden con tipos de archivos de alto riesgo si las descargas se inician en un sitio HTTPS pero utilizan HTTP para la descarga y no HTTPS. Las descargas de alto riesgo no se bloquearán actualmente si las descargas están enlazadas desde páginas HTTP porque los usuarios ya están informados de que el sitio en el que se encuentran no es seguro en ese caso.
Google aún no ha especificado los planes sobre cómo planea integrar la función en el navegador Chrome. No está claro si el navegador notifica a los usuarios sobre el bloqueo de la descarga y si los usuarios pueden evitar el bloqueo para descargar el archivo de todas formas.
El equipo responsable de la integración en el navegador Chrome se centrará en las versiones de escritorio de Google Chrome, ya que la versión de Chrome para Android ya soporta funciones de protección contra archivos apk maliciosos.
Google parece interesado en colaborar con otros fabricantes de navegadores. Un portavoz de Mozilla dijo a ZDnet que está interesado en “explorar más a fondo estas ideas” y que la “idea general se alinea con los pasos” que ha tomado previamente para proteger a los usuarios de “contenido entregado de forma insegura”.
Mozilla ya implementó varias protecciones en versiones anteriores de Firefox; la organización bloquea el contenido inseguro para que no se cargue en sitios HTTPS desde Firefox 23, por ejemplo.
Ahora tú: ¿Compruebas los enlaces de descarga antes de hacer clic en ellos?
