火狐浏览器正在测试版里验证新功能 阻止恶意网站进行偷渡式下载
偷渡式下载是某些黑灰产网站比较喜欢使用的攻击路数,通过自动下载可执行文件再利用网页诱导用户进行执行。
所谓偷渡式下载主要指的是利用嵌套框架等技术通过浏览器合法功能进行文件下载,但这不需要经过用户的确认。
待文件瞬间下载完成后攻击者可以在网页上以文案诱导用户执行,因此对部分非专业用户来说这也具有安全风险。
火狐浏览器工程团队自然也注意到偷渡式下载这类非法操作,因此在最新的测试版里火狐浏览器也已经开始拦截。
当然说是拦截其实并非拦截而是直接屏蔽利用嵌套框架下载的技术,后续版本不会支持该技术因此无法再次利用。
谷歌已经在去年开始屏蔽偷渡式下载并在今年五月份的稳定版里屏蔽该技术,所以攻击者也无法利用谷歌浏览器。
在主要浏览器都屏蔽该技术可能类似攻击不会再频繁出现,毕竟其他浏览器用户量较低不太可能出现大规模利用。
有兴趣的用户点击这里下载火狐浏览器测试版进行体验:http://ftp.mozilla.org/pub/firefox/releases/82.0b7/