Mozilla将于10月向Firefox添加一项新的安全功能,这将使恶意网页更难以启动自动下载并在用户计算机上植入包含恶意软件的文件。
这类攻击称为驱赶式下载,已经存在了二十年,通常在用户访问包含攻击者放置在其中的恶意代码的网站时发生。
恶意代码的作用是滥用浏览器和Web标准中的合法功能,以启动自动文件下载或下载提示,以诱骗用户运行恶意文件。
根据攻击者决定使用的浏览器功能,有多种形式的偷渡式下载。
多年来,Chrome, Firefox和Internet Explorer之类的 浏览器已逐渐部署了各种形式的保护措施,以防止自动过路下载。但是,由于浏览器制造商无法完全阻止合法的网络功能,因此无法完全实现100%的保护。也是由于网络攻击的格局日新月异,攻击者总是在寻找新的漏洞。
浏览器制造商已决定针对偷渡式下载提供最新一轮保护,其目标是一项称为“沙盒iframe”的技术,该技术通常用于在第三方站点上加载广告和可嵌入的小部件(视频,音乐曲目,播客)。
这个想法是网站很少通过沙盒iframe启动下载,因为大多数这些小部件通常用于嵌入内容。
Chrome浏览器于2019年3月发布Chrome 73,从而首次阻止了从“沙盒iframe”启动的下载 ,并于2020年5月在Chrome 83中完全删除了该选项。
本周, Firefox宣布了类似计划。从计划于下个月于2020年10月发布的Firefox 82开始,Firefox将阻止所有来自沙盒iframe的文件下载。
只有网站所有者或Web小部件提供商在iframe上具有“允许下载”标志时,才会接受下载。但是,大多数情况并非如此,因为这是安全隐患,并且是为什么它们 在第一批而不是经典iframe中使用沙盒iframe的原因 。
浏览器是一堆复杂的代码,这在总体上是一个很小的更新,但这通常是您构建安全产品,对威胁的到来做出反应并随时间进行细微调整的方式。
Safari WebKit团队也提出了类似的功能,但尚未计划实现该功能的计划。