Firefox 93 blokkeert standaard downloads via http en iframe

Firefox zal downloads via http op https-websites in versie 93 voortaan standaard blokkeren. Downloads afkomstig van gesandboxte iframes worden ook geblokkeerd, tenzij het iframe een attribuut bevat dat downloads toelaat.

Op het moment dat Firefox 93 een download via http opmerkt, zal er een prompt verschijnen waarmee de gebruiker kan kiezen om het te downloaden bestand alsnog binnen te halen of het proces te annuleren. Via deze melding wordt medegedeeld dat er een onbeveiligde http-verbinding is vastgesteld en er een 'potentieel beveiligingsrisico' heerst.

"Via een onveilige http-verbinding kan een hacker te downloaden bestanden aanpassen of zelfs vervangen door schadelijke bestanden", klinkt het op de blog van Mozilla. "Hierdoor kan een heel systeem geïnfecteerd geraken."

Het downloaden van bestanden via gesandboxte iframes wordt in versie 93 ook geblokkeerd. Deze iframes dienen vaak om content van derde partijen te embedden op een website maar worden volgens Mozilla ook gebruikt om drive-by downloads uit te voeren. Bij dit type downloads worden er ongevraagd bestanden gedownload naar de computer van een gebruiker, dit vaak zonder dat er interactie voor nodig is. Dat wordt standaard onmogelijk gemaakt, tenzij de specifieke iframe een attribuut in zijn code bevat dat downloads toelaat.

Firefox 93 wordt vanaf vandaag uitgerold naar alle gebruikers.

Melding in Firefox versie 93 bij http-download

Door Jay Stout

Redacteur

Feedback • 05-10-2021 12:5922

05-10-2021 • 12:59

22 Linkedin

Lees meer

Mozilla Firefox is nu ook beschikbaar in de Microsoft Store Nieuws van 9 november 2021
Firefox introduceert functie voor gesponsorde zoeksuggesties in VS Nieuws van 7 oktober 2021
Wachtwoordmanager Firefox kan straks op Android logins in andere apps invullen Nieuws van 2 oktober 2021
Mozilla maakt het makkelijker om Firefox in te stellen als standaardbrowser Nieuws van 13 september 2021
Mozilla test optionele Firefox-functie voor gesponsorde zoeksuggesties in VS Nieuws van 13 augustus 2021
'Mozilla gaat privacypakket als abonnement aanbieden' Nieuws van 10 augustus 2021
Meer producten en artikelen
Networking en security Browsers Mozilla Firefox Http Https

Reacties (22)

-Moderatie-faq
22
22
21
2
0
0
Wijzig sortering
Rudie_V
5 oktober 2021 13:48
Er zijn nog twee verschillende settings voor het toelaten van downloads:

<iframe>: The Inline Frame element
https://developer.mozilla...ement/iframe#attr-sandbox
  • allow-downloads-without-user-activation : Allows for downloads to occur without a gesture from the user.
  • allow-downloads: Allows for downloads to occur with a gesture from the user.
Het zou nog veiliger zijn als de eerste optie ook niet wordt toegestaan of dat men dit mischien om kan zetten naar altijd een gebruikersinteractie.

Maar zijn deze uitbreidingen een officiële standaard of is het iets van Firefox? Want ik vraag mij af hoe het met andere browsers zit.

[Reactie gewijzigd door Rudie_V op 5 oktober 2021 13:51]

:murb:
@Rudie_V5 oktober 2021 14:09
Het is een goed gesupport element (alleen Safari en IE niet, en vermoed Opera ook niet) Zie https://developer.mozilla...ement/iframe#attr-sandbox. MDN is weliswaar onder de paraplu 'Mozilla' maar is niet specifiek voor Firefox; zie hun advisory board: https://developer.mozilla...ct_Advisory_Board/Members
Martinspire
5 oktober 2021 13:34
Wat verhindert hackers om een iframe te voorzien van "allow-download"?
CAPSLOCK2000
@Martinspire5 oktober 2021 14:00
Zie een iframe als een raam. Via dat raam kun je de tuin van je buurman zien. Maar het is je buurman die bepaalt wat er in zijn tuin staat.

Vroeger was raam gewoon een open gat in de muur en kon de buurman zijn rommel jouw kamer in duwen door dat raam. Tegenwoordig zit er glas in en een slot op. Dat slot is de 'allow-download' tag. Dat slot zit aan de binnenkant en kan niet van buiten worden opengemaakt, dat kan alleen de bewoner zelf doen.

[Reactie gewijzigd door CAPSLOCK2000 op 5 oktober 2021 15:33]

ThoffeGast
@CAPSLOCK20005 oktober 2021 14:36
behalve dan dat een hoop sites een 'aannemer' in dienst hebben die voor jou dat raam monteert, met met misschien ook wel dat slot open gezet..

(google tag manager, ad platformen etc die code op de betreffende sites injecteren, dus de iframe tag en al)
Patriot
@ThoffeGast5 oktober 2021 14:49
Je moet dit denk ik meer zien vanuit een situatie waarbij bijvoorbeeld de verbinding van een advertentie netwerk compromised is waardoor op jouw website malafide advertenties geserveerd worden. Dan kunnen er niet zomaar bij het bezoeken van jouw pagina meteen downloads worden aangeboden.

Het is natuurlijk geen sluitende oplossing, en zo moet je het dan ook niet zien.
Loller1
@Martinspire5 oktober 2021 14:43
Als een hacker het iframe zelf kan voorzien van het "allow-download" attribute, dan is het feit dat die dat kan doen waarschijnlijk het minste van je zorgen.
Martinspire
@Loller15 oktober 2021 18:56
Maar de meeste email spam met gedownloade malware zal toch juist op die manier willen werken?

[Reactie gewijzigd door Martinspire op 5 oktober 2021 18:56]

Rudie_V
@Martinspire5 oktober 2021 13:40
Op een malafide website natuurlijk niets. Maar op legale websites zal de programmeur dit moeten coderen en dit gebeurt natuurlijk alleen als het iframe ook echt vertrouwd is.
Wyox
@Martinspire5 oktober 2021 13:42
Als een hacker toegang krijgt tot de inhoud van een iframe wil dat nog niet zeggen dat de hacker controle heeft over het iframe element en de attributen er van. Als een hacker toegang heeft tot een bovenliggende website dan maakt het niet uit of er een allow-download attribuut aangekoppeld is.
woutersamaey
5 oktober 2021 13:24
Welk attribuut is dit precies?
azerty
@woutersamaey5 oktober 2021 13:29
Quote van hun blog:
- block downloads in sandboxed iframes, unless the iframe is explicitly annotated with the allow-downloads attribute.
Edit: Dit zal dan in het sandbox attribuut zitten vermoed ik.

[Reactie gewijzigd door azerty op 5 oktober 2021 13:31]

ronansoleste
@woutersamaey5 oktober 2021 13:29
block downloads in sandboxed iframes, unless the iframe is explicitly annotated with the allow-downloads attribute.
zie hier: https://developer.mozilla...ement/iframe#attr-sandbox
Lizard
@woutersamaey5 oktober 2021 13:30
Uit het gelinkte artikel: "block downloads in sandboxed iframes, unless the iframe is explicitly annotated with the allow-downloads attribute."
Vihaio
@woutersamaey5 oktober 2021 13:31
Uit het bronartikel:
Unless the sandboxed content is explicitly annotated with the ‘allow-downloads’ attribute, Firefox will protect you against such drive-by downloads.
‘allow-downloads’ dus.

Edit: Oh, ik ben pas de vierde die dat zegt :+

[Reactie gewijzigd door Vihaio op 5 oktober 2021 13:38]

Skiddie
5 oktober 2021 13:33
dit vaak zonder dat er interactie nog is.
Klein tikfoutje.

Spijtig dat ze er weeral voor opteren om een ja/nee popup te gebruiken. In een bijna-ideale wereld waarin deze popups schaars zijn en bijna nooit voorkomen is dit een goed idee. In een wereld waar je 15 keer per dag de popup krijgt daarentegen.....
Maurits van Baerle
@Skiddie5 oktober 2021 14:12
Ik zit op het Firefox beta kanaal dus krijg dit soort nieuwe features vier weken eerder en ik ben in die vier weken intensief browsen welgeteld één keer deze melding tegengekomen. Je zou je verbazen hoe weinig sites er nog zijn zonder TLS, al helemaal als ze downloads aanbieden.
Arkot
@Maurits van Baerle5 oktober 2021 15:08
Komt deze update dan naar jouw mening te laat?
Maurits van Baerle
@Arkot5 oktober 2021 16:05
Ik denk zelf dat het wel meevalt. Het is een kleine wijziging in een rij van 'alle beetjes helpen' maar ik vraag me af hoeveel er actief gebruik gemaakt wordt van een soort Man-in-the-Middle aanval om downloadbare bestanden te infecteren. Kortom, de wijziging kan geen kwaad maar ik denk dat het voor de meeste mensen en gevallen geen verschil gaat maken, niet in toegenomen veiligheid en niet in afgenomen gebruikersgemak.
Anoniem: 193142
5 oktober 2021 13:47
Als de auto-updater nog geen nieuwe versie laat zien, dan kan je versie 93 hier al downloaden:

https://ftp.mozilla.org/pub/firefox/releases/93.0/

[Reactie gewijzigd door Anoniem: 193142 op 5 oktober 2021 13:47]

secret2000
5 oktober 2021 15:08
Je kunt nog wel vanuit een HTTP site downloaden met HTTP.
bantoo
5 oktober 2021 13:22
Klinkt me sterk als een doorklikmenu. Je krijgt straks dus een melding bij download, dan nog een melding dat het een exe is, dan een smartscreen melding etc. etc.
Leuk idee maar blokkeer het dan helemaal.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee