Bestimmte Dateien sollen in Google Chrome zukünftig nicht mehr per HTTP heruntergeladen werden können, wenn eine Seite unter HTTPS läuft. Ähnliche Pläne verfolgt auch Mozilla für Firefox.
Google will zukünftig bestimmte Dateien, die als potentiell riskant gelten, vom Download per HTTP blockieren, wenn die Seite, von welcher der Download stammt, unter HTTPS betrieben wird. Das schrieb Google Engineer Emiliy Stark in einem Mailing an das World Wide Web Consortium (W3C). HTTP-Downloads aus einem sicheren Kontext heraus würden dann als "Acitve Mixed Content" betrachtet und deren Download wäre dann blockiert:
We want to achieve the right balance between compatibility/user-disruption and security improvements, so we will likely start by treating certain high-risk downloads initiated from secure contexts as active mixed content and block them. We're still finalizing our metrics before we can share them publicly, but right now it's looking like it will be feasible to block a set of high-risk filetypes (executables and archives as determined by the Content-Type header or sniffed mime-type).
Betroffen wären vermutlich Dateitypen .exe, .dmg (ausführbare Dateien unter MacOS), .crx (Chrome Extension Package) sowie die wichtigsten Archiv-Formate wie ZIP, GZIP oder TAR.
Blockiert werden soll der Download solcher Dateien nur bei HTTPS-Webseiten, nicht aber bei Seiten, die über HTTP laufen. Beim Aufruf solcher Seiten zeigt der Browser ohnehin bereits jetzt eine Warnmeldung an.
Im Fokus wird dabei die Desktop-Version des Browsers stehen. Für die Android-Version von Chrome gibt es bereits eine Blockade für den Download von verdächtigen APK-Dateien (Android-Paketdateien).
Auch Mozilla ist laut einem Bericht an einer ähnlichen Funktion für Firefox interessiert.
