Бесплатно Экспресс-аудит сайта:

05.09.2020

В Firefox появится новая функция защиты от автоматической загрузки вредоносных файлов

Инженеры Mozilla работают над новой функцией безопасности для браузера Firefox, которая усложнит вредоносным web-страницам инициирование автоматических загрузок и внедрение вредоносных файлов на компьютеры пользователей.

Речь идет о хорошо известных атаках типа drive-by (скрытые загрузки), осуществляемых, когда пользователь посещает сайт с вредоносным кодом, устанавливающим вредоносное ПО на устройство пользователя.

Хотя в популярных браузерах, таких как Chrome, Firefox или Internet Explorer уже реализованы различные меры защиты от drive-by-атак, полностью предотвратить их не представляется возможным, поскольку производители не могут полностью блокировать легитимные функции в браузерах, которые эксплуатируются в подобных атаках.

В качестве одной из таких защитных мер является блокировка загрузок, инициированных всплывающими фреймами (iframe) с атрибутом sandbox (атрибут позволяет установить ряд ограничений на контент загружаемый во фрейме, к примеру, блокировать формы и скрипты), которые часто используются для загрузки рекламы и встроенных виджетов на сторонних сайтах. Идея объясняется тем, что сайты редко инициируют загрузки через такие фреймы, поскольку большинство виджетов обычно используется для встраивания контента.

Впервые функция блокировки загрузок, инициированных через фреймы с атрибутом sandbox, появилась в версии Google Chrome 73, выпущенной в марте 2019 года, опция была полностью удалена в выпуске Chrome 83 в мае нынешнего года.

Теперь же об аналогичных планах сообщили разработчики Firefox. Начиная с версии Firefox 82, запланированной к выходу в октябре 2020 года, браузер начнет блокировать все загрузки файлов, источником которых является фрейм с атрибутом sandbox. Исключение составят случаи, когда владелец сайта или провайдер web-виджета разрешат загрузку.