Mozilla gaat in Firefox 58 data-url's deels blokkeren, wat gebruikers tegen phishingaanvallen moet beschermen. Een data-url laat webontwikkelaars kleine bestanden in html of css embedden. Het grootste voordeel van data-url's is dat ze de laadtijd van de pagina versnellen, omdat het embedden van anderzijds externe bronnen het aantal http-requests vermindert dat een browser moet versturen om data te laden.
Criminelen maken echter al jaren misbruik van data-url's. Het gaat dan voornamelijk om phishingaanvallen. Gebruikers krijgen e-mails toegestuurd met een linkje. Zodra de link wordt geopend zal de data-url in de browser worden geladen, die vervolgens een phishingsite weergeeft. Voor criminelen heeft het gebruik van data-url's het voordeel dat ze geen volledige website hoeven te hosten voor het uitvoeren van de aanval. Alle data van de phishingsite bevindt zich namelijk binnen de data-url.
"Eindgebruikers vertrouwen op de adresbalk van een browser om de te zien op welke pagina ze zich bevinden. De meeste eindgebruikers zijn niet bekend met het concept van de data-url, die een string met een legitiem adres kan bevatten, waardoor de eindgebruiker denkt dat die op een bepaalde pagina zit. In werkelijkheid kan een malafide data-url echter vermomde content weergeven waardoor eindgebruikers hun inloggegevens verstrekken", zegt Mozilla's Christoph Kerschbaumer.
Om gebruikers tegen dergelijke phishingaanvallen te beschermen zal Firefox 58 voorkomen dat webpagina's in de adresbalk een data-url kunnen laten zien. Het navigeren naar een data-url zal mogelijk blijven als deze actie daadwerkelijk van de eindgebruiker afkomstig is. Het gaat dan bijvoorbeeld om het kopiëren en plakken van een data-url in de adresbalk of het downloaden van een data-url.
Deze posting is gelocked. Reageren is niet meer mogelijk.