Главная особенность скрытых загрузок заключается в том, что они совершаются без какого-либо взаимодействия с пользователем. Google планирует заблокировать drive-by загрузки, которые, согласно стандартам компании, соответствуют непреднамеренным загрузкам. Новая функция безопасности будет реализована в браузере Google Chrome на всех поддерживаемых операционных системах, за исключением iOS.
Скрытые загрузки используются во многих атаках и вредоносных кампаниях для доставки вредоносного контента на устройство жертвы.
Совет: вы можете настроить ручную загрузку файлов в Chrome и других браузеров, чтобы избежать дополнительных рисков безопасности – для этого в меню chrome://settings/downloads включите параметр Всегда указывать место для скачивания.
По умолчанию Chrome загружает файлы автоматически (без запроса целевого расположения файла). Данное поведение привело к неприятной ситуации в системах Windows в 2017 году: файлы .scf загружались на компьютеры и автоматически обрабатывались Windows при открытии директории загрузок.
Инициализацию загрузок можно вызывать различными способами, например с помощью клика по ссылке на файл или кликнув правой кнопкой мыши по ссылке и выбрав опцию сохранения.
Согласно документу «Preventing Drive-By-Downloads in Sandboxed Iframes» загрузки будут автоматически блокироваться в Chrome, если они отвечают следующим требованиям:
- Загрузка инициализируется без взаимодействия с пользователем. Google отмечает, что существует два типа загрузок, которые попадают в данную категорию.
- Загрузка происходит в защищенном песочницей фрейме iframe.
- Фрейм не требует переходного жеста от пользователя в момент клика или навигации.
Google отмечает, что данное изменение затрагивает примерно 0,002% загрузок страниц. Компания признает, что существуют легитимные варианты использования функциональности, и отмечает, что законные издатели получат возможность обойти блокировку.
Реализация Google нацелена на вредоносную рекламу и рекламные кампании, используемые в первую очередь для распространения вредоносных загрузок.
Заинтересованные пользователи могут проверить статус ошибки на сайте Chromium, чтобы следить за развитием функциональности. Примечательно, что ошибка была опубликована еще в 2015 году. Пока неясно, когда эта функция станет доступной, но вполне вероятно, что она будет представлена в этом году.
Обновления программ, что нового
• Anthropic запустила Claude Design для создания дизайнов, прототипов и слайдов
• Обновление Intel ARC Game On Driver 32.0.101.8724 Non-WHQL. Поддержка Intel Core (Wildcat Lake) со встроенной графикой
• Google выпустила Android 17 Beta 4 с лимитами памяти для приложений
• Anthropic выпустила Claude Opus 4.7 с режимом усилий xhigh
• Intel представила процессоры Core (Wildcat Lake) для доступных ноутбуков – конкурентов MacBook Neo
• Обновление Intel NPU Driver (AI Boost) 32.0.100.4724 WHQL. Поддержка Wildcat Lake и новые ИИ-модели для Core Ultra