Chrome gaat http-downloads van exe en zip op https-sites blokkeren
Om gebruikers tegen onveilige downloads te beschermen is Google van plan om bepaalde downloads op https-sites die via http plaatsvinden te blokkeren. Het gaat dan specifiek om downloads van uitvoerbare bestanden eindigend op .exe, .dmg en .crx en archiefbestanden zoals .zip, .gzip, .rar, .tar en .bzip.
Dat heeft Google-engineer Emily Stark op de webappsec-mailinglist aangekondigd. Volgens Stark wil Google het aantal onveilige downloads terugdringen, met name die risicovol zijn zoals uitvoerbare bestanden. "We willen de juiste balans vinden tussen compatibiliteit/gebruikersverstoring en veiligheidsverbeteringen", merkt Stark op. Daarom richt Google zich eerst op risicovolle downloads die vanuit een https-context worden gestart.
In dit geval gaat het om http-downloads die vanaf een https-site worden gestart. Stark wil dergelijke downloads als mixed content beschouwen en binnen de browser blokkeren. Google zal later cijfers over de mogelijke impact van de maatregel delen, maar stelt nu al dat het haalbaar is om bepaalde risicovolle bestandstypes gebaseerd op de content-type header of mime-type te blokkeren. De focus ligt daarbij op desktopgebruikers, aangezien Androidgebruikers al via Safe Browsing zijn beschermd. Wanneer de maatregel aan Chrome wordt toegevoegd is nog niet bekend.
Als je al tar en zips gaat blokkeren.........
Ze kunnen dan beter een waarschuwing groot in het beeld aangeven en zorgen dat de hele kleine bestandjes van een extra melding voorzien worden.
Nog even en we mogen echt niks meer.
Ik werk gelukkig niet met Chrome....
Maar het gaat slechts om een veilige verbinding.
Je zou via https dus best heel veilig malware kunnen downloaden, om er vervolgens evengoed je PC mee te besmetten...
Google doet een hoop goede dingen als je even verder kijkt dan je neus lang is. Sterker nog Google doet heel veel voor Security en staat er eigenlijk bekend om. Ze vinden heel veel bugs in de software. Hun login methode kan een heel hoop detecteren. Spam en Malware detectie in de mail is subliem. En ze houden een hele betrouwbare blacklist bij van malware websites.
Je haalt nu privacy en security door elkaar. En zelfs daar zit een groot verschil in met Google. Maar zelfs de zakelijke variant van Google heeft een hele reputatie op Security.
Google doet een hoop goede dingen als je even verder kijkt dan je neus lang is. Sterker nog Google doet heel veel voor Security en staat er eigenlijk bekend om. Ze vinden heel veel bugs in de software. Hun login methode kan een heel hoop detecteren. Spam en Malware detectie in de mail is subliem. En ze houden een hele betrouwbare blacklist bij van malware websites.
Je haalt nu privacy en security door elkaar. En zelfs daar zit een groot verschil in met Google. Maar zelfs de zakelijke variant van Google heeft een hele reputatie op Security.
Tijd voor een internetrijbewijs in plaats van al die maatregelen die er moeten zijn voor volk dat eigenlijk niet met een PC om kan gaan.
Google doet een hoop goede dingen als je even verder kijkt dan je neus lang is. Sterker nog Google doet heel veel voor Security en staat er eigenlijk bekend om. Ze vinden heel veel bugs in de software. Hun login methode kan een heel hoop detecteren. Spam en Malware detectie in de mail is subliem. En ze houden een hele betrouwbare blacklist bij van malware websites.
Je haalt nu privacy en security door elkaar. En zelfs daar zit een groot verschil in met Google. Maar zelfs de zakelijke variant van Google heeft een hele reputatie op Security.
Stockholmsyndroom...
Of je moet toegeven dat je hard gefaald hebt en dat je het de eindgebruiker maar op laat lossen. Maar dan mag je beginnen met die eindgebruiker niet alleen de kennis, maar ook de vereiste --en geschikte!-- gereedschappen te bieden. En dat laatste, ook een stukje techniek, is nog in de verste verte niet het geval.
Dat is dan ook waarom "beveiligings"-"advies" vaak zo lachwekkend inept en slecht is: Het is alsof je zonder stuur een zogenaamd-maar-niet-heus zelfrijdende auto op de weg moet houden, zonder dat je daar de kennis of de vaardigheden voor hebt. Dagelijke kettingbotsingen zijn dan onvermijdelijk. Hoe je van mensen rijbewijsbare vaardigheden denkt te kunnen verlangen in autos zonder stuur, wat voor vaardigheden had je in gedachten?
Maar het gaat slechts om een veilige verbinding.
Je zou via https dus best heel veilig malware kunnen downloaden, om er vervolgens evengoed je PC mee te besmetten...
Nee, Chrome biedt nu extra bescherming tegen MITM aanvallen die in dit geval je systeem kunnen overnemen. Aangezien zij geen nieuwe meldingen laten zien dat https-bestanden veilig zijn, zal Jan met de pet het verschil niet merken.
want als je je hele site op https zet - wat tegenwoordig vrij standaard is - kan je dus geen ZIP files aanbieden
want als je je hele site op https zet - wat tegenwoordig vrij standaard is - kan je dus geen ZIP files aanbieden
In de eerste paragraaf staat het niet heel duidelijk, maar aan het einde van de 2e en het begin van de 3e paragraaf staat duidelijk dat het gaat om http download links op een https website.
M.a.w. je kunt de ZIP bestanden prima aanbieden als download via https.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
