Firefox 82 będzie wspierać nową metodę obrony przed atakami „drive-by download”

Mozilla informuje, że wprowadzi w przyszłym miesiącu do kolejnej wersji przeglądarki Firefox nową funkcjonalność, dzięki której będzie ona mogła bronić jej użytkowników skutecznie przed atakami typu „drive-by download”.

Firefox

Strony internetowe nie będą mogły inicjować automatycznie operacji pobierania i zagnieżdżania w pamięci komputera plików zawierających spreparowany przez hakera malware, jeśli nowych mechanizm nie wyrazi na to zgody.

Ataki typu „drive-by download” znane są od dwudziestu lat. Wykorzystują one standardowe funkcje wspierane przez przeglądarkę, które pobierają z odwiedzanej przez użytkownika witryny zainfekowany program, mając nadzieję iż zostanie on w pewnym momencie uruchomiony przez użytkownika.

Zobacz również:

  • YouTube będzie wymagać od twórców oznaczania filmów generowanych przez AI
  • Przeglądarka Opera dla urządzeń iOS będzie korzystać z własnego silnika.

Wszystkie przeglądarki bronią się na różne sposoby przez atakami tego typu, ale jest to bardzo trudne z tego powodu, iż funkcji pobierania plików nie można całkowicie zablokować, a sprawdzanie czy nie zawierają one szkodliwego kodu nie jest wcale taką łatwą sprawą.

Tym razem Mozilla opracowała metodę, która ochroni automatycznie użytkowników przez pobieraniem szkodliwych plików kreowanych przy użyciu technologii „sandboxed iframe”, wykorzystywanej często w internecie do ładowania różnych treści multimedialnych, takich jak reklamy czy filmy. Pierwszy raz po taką metodę ochrony sięgnęła firma Google, wprowadzając ją na początku zeszłego roku do przeglądarki Chrome 73.

W tym tygodniu Firefox ogłosił podobne plany, zapowiadając iż zostanie ona wprowadzona do przeglądarki Firefox 82, której premierę zaplanowano na przyszły miesiąc. Firefox będzie blokować operacje pobierania każdego pliku znajdującego się w piaskownicy „iframe”, do którego jego twórca (lub właściciel witryny) nie dołączył specjalnej flagi "allow-download" .

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200