Главная особенность скрытых загрузок заключается в том, что они совершаются без какого-либо взаимодействия с пользователем. Google планирует заблокировать drive-by загрузки, которые, согласно стандартам компании, соответствуют непреднамеренным загрузкам. Новая функция безопасности будет реализована в браузере Google Chrome на всех поддерживаемых операционных системах, за исключением iOS.
Скрытые загрузки используются во многих атаках и вредоносных кампаниях для доставки вредоносного контента на устройство жертвы.
Совет: вы можете настроить ручную загрузку файлов в Chrome и других браузеров, чтобы избежать дополнительных рисков безопасности – для этого в меню chrome://settings/downloads включите параметр Всегда указывать место для скачивания.
По умолчанию Chrome загружает файлы автоматически (без запроса целевого расположения файла). Данное поведение привело к неприятной ситуации в системах Windows в 2017 году: файлы .scf загружались на компьютеры и автоматически обрабатывались Windows при открытии директории загрузок.
Инициализацию загрузок можно вызывать различными способами, например с помощью клика по ссылке на файл или кликнув правой кнопкой мыши по ссылке и выбрав опцию сохранения.
Согласно документу «Preventing Drive-By-Downloads in Sandboxed Iframes» загрузки будут автоматически блокироваться в Chrome, если они отвечают следующим требованиям:
- Загрузка инициализируется без взаимодействия с пользователем. Google отмечает, что существует два типа загрузок, которые попадают в данную категорию.
- Загрузка происходит в защищенном песочницей фрейме iframe.
- Фрейм не требует переходного жеста от пользователя в момент клика или навигации.
Google отмечает, что данное изменение затрагивает примерно 0,002% загрузок страниц. Компания признает, что существуют легитимные варианты использования функциональности, и отмечает, что законные издатели получат возможность обойти блокировку.
Реализация Google нацелена на вредоносную рекламу и рекламные кампании, используемые в первую очередь для распространения вредоносных загрузок.
Заинтересованные пользователи могут проверить статус ошибки на сайте Chromium, чтобы следить за развитием функциональности. Примечательно, что ошибка была опубликована еще в 2015 году. Пока неясно, когда эта функция станет доступной, но вполне вероятно, что она будет представлена в этом году.
Обновления программ, что нового
• Релиз Firefox 144: новый менеджер профилей, улучшения групп вкладок, интеграция Perplexity AI и исправления безопасности
• Vivo X300 Pro с Dimensity 9500 превзошёл Xiaomi 17 Pro Max на Snapdragon 8 Elite Gen 5 в AnTuTu
• VMware Workstation и Fusion 25H2: новый инструмент dictTool, поддержка USB 3.2, современного оборудования и актуальных ОС
• Realme GT 8 и GT 8 Pro: дата анонса и ключевые характеристики
• Samsung приостановила обновление One UI 8 для Galaxy S22: причины неизвестны
• Доступны тестовые обновления Антивируса ESET NOD32 версии 19: прекращена поддержка 32-битных версий Windows