Chrome wordt immuun voor stiekeme downloads

Google introduceert ingebouwde bescherming voor stiekeme downloads voor op Chromium-gebaseerde browsers. Het loopt daarbij achter op onder andere Firefox.

Chromium krijgt eindelijk bescherming voor drive by-downloads. Dat zijn stiekeme downloads die automatisch starten wanneer gebruikers een website bezoeken, zonder dat ze daarvoor ergens op hoeven te klikken. Gewoonlijk gaat het om malafide bestanden die op de site zijn geplaatst door hackers. Google viseert geen automatische downloads die legitiem zijn, zoals een url gelinkt aan een bestand, maar kijkt specifiek naar misbruik van iframe-elementen op websites.

De bescherming moet adequaat zijn om het gros van de drive by-aanvallen te blokkeren. Google voorziet wel een manier om de blokkering te omzeilen om zo toch automatische downloadfunctionaliteit te bieden wanneer nodig. Ontwikkelaars kunnen in dat geval ‘allow-downloads-without-user-activation’ implementeren in de iframe-sandbox. Hackers die de volledige controle over een website verwerven, kunnen diezelfde optie gebruiken om alsnog drive by-downloads te lanceren.

Late implementatie

De bescherming is verre van nieuw. Firefox en zelfs Internet Explorer hebben al jaren een gelijkaardige functionaliteit aan boord. Omdat Google de bescherming inbouwt in het Chromium-opensourceproject krijgen alle op Chrome gebaseerde browsers de drive by-bescherming, niet alleen Chrome zelf. Enkel Chrome op iOS blijft uit, omdat die browser noodgedwongen gebaseerd is op Apple’s Webkit, dat de bescherming niet ondersteunt.

De bescherming is al beschikbaar in de Canary-versie van Chrome zelf en rolt in de nabije toekomst uit naar de reguliere versie van de browser. Andere Chromium-browsers zoals Vivaldi, Opera (en binnenkort Edge) zullen vermoedelijk snel volgen.