Firefox 93 blokkeert standaard downloads via http en iframe

Firefox zal downloads via http op https-websites in versie 93 voortaan standaard blokkeren. Downloads afkomstig van gesandboxte iframes worden ook geblokkeerd, tenzij het iframe een attribuut bevat dat downloads toelaat.

Op het moment dat Firefox 93 een download via http opmerkt, zal er een prompt verschijnen waarmee de gebruiker kan kiezen om het te downloaden bestand alsnog binnen te halen of het proces te annuleren. Via deze melding wordt medegedeeld dat er een onbeveiligde http-verbinding is vastgesteld en er een 'potentieel beveiligingsrisico' heerst.

"Via een onveilige http-verbinding kan een hacker te downloaden bestanden aanpassen of zelfs vervangen door schadelijke bestanden", klinkt het op de blog van Mozilla. "Hierdoor kan een heel systeem geïnfecteerd geraken."

Het downloaden van bestanden via gesandboxte iframes wordt in versie 93 ook geblokkeerd. Deze iframes dienen vaak om content van derde partijen te embedden op een website maar worden volgens Mozilla ook gebruikt om drive-by downloads uit te voeren. Bij dit type downloads worden er ongevraagd bestanden gedownload naar de computer van een gebruiker, dit vaak zonder dat er interactie voor nodig is. Dat wordt standaard onmogelijk gemaakt, tenzij de specifieke iframe een attribuut in zijn code bevat dat downloads toelaat.

Firefox 93 wordt vanaf vandaag uitgerold naar alle gebruikers.

Melding in Firefox versie 93 bij http-download

Door Jay Stout

Redacteur

05-10-2021 • 12:59

22 Linkedin

Reacties (22)

22
22
21
2
0
0
Wijzig sortering
Er zijn nog twee verschillende settings voor het toelaten van downloads:

<iframe>: The Inline Frame element
https://developer.mozilla...ement/iframe#attr-sandbox
  • allow-downloads-without-user-activation : Allows for downloads to occur without a gesture from the user.
  • allow-downloads: Allows for downloads to occur with a gesture from the user.
Het zou nog veiliger zijn als de eerste optie ook niet wordt toegestaan of dat men dit mischien om kan zetten naar altijd een gebruikersinteractie.

Maar zijn deze uitbreidingen een officiële standaard of is het iets van Firefox? Want ik vraag mij af hoe het met andere browsers zit.

[Reactie gewijzigd door Rudie_V op 5 oktober 2021 13:51]

Het is een goed gesupport element (alleen Safari en IE niet, en vermoed Opera ook niet) Zie https://developer.mozilla...ement/iframe#attr-sandbox. MDN is weliswaar onder de paraplu 'Mozilla' maar is niet specifiek voor Firefox; zie hun advisory board: https://developer.mozilla...ct_Advisory_Board/Members
Wat verhindert hackers om een iframe te voorzien van "allow-download"?
Zie een iframe als een raam. Via dat raam kun je de tuin van je buurman zien. Maar het is je buurman die bepaalt wat er in zijn tuin staat.

Vroeger was raam gewoon een open gat in de muur en kon de buurman zijn rommel jouw kamer in duwen door dat raam. Tegenwoordig zit er glas in en een slot op. Dat slot is de 'allow-download' tag. Dat slot zit aan de binnenkant en kan niet van buiten worden opengemaakt, dat kan alleen de bewoner zelf doen.

[Reactie gewijzigd door CAPSLOCK2000 op 5 oktober 2021 15:33]

behalve dan dat een hoop sites een 'aannemer' in dienst hebben die voor jou dat raam monteert, met met misschien ook wel dat slot open gezet..

(google tag manager, ad platformen etc die code op de betreffende sites injecteren, dus de iframe tag en al)
Je moet dit denk ik meer zien vanuit een situatie waarbij bijvoorbeeld de verbinding van een advertentie netwerk compromised is waardoor op jouw website malafide advertenties geserveerd worden. Dan kunnen er niet zomaar bij het bezoeken van jouw pagina meteen downloads worden aangeboden.

Het is natuurlijk geen sluitende oplossing, en zo moet je het dan ook niet zien.
Als een hacker het iframe zelf kan voorzien van het "allow-download" attribute, dan is het feit dat die dat kan doen waarschijnlijk het minste van je zorgen.
Maar de meeste email spam met gedownloade malware zal toch juist op die manier willen werken?

[Reactie gewijzigd door Martinspire op 5 oktober 2021 18:56]

Op een malafide website natuurlijk niets. Maar op legale websites zal de programmeur dit moeten coderen en dit gebeurt natuurlijk alleen als het iframe ook echt vertrouwd is.
Als een hacker toegang krijgt tot de inhoud van een iframe wil dat nog niet zeggen dat de hacker controle heeft over het iframe element en de attributen er van. Als een hacker toegang heeft tot een bovenliggende website dan maakt het niet uit of er een allow-download attribuut aangekoppeld is.
Welk attribuut is dit precies?
Quote van hun blog:
- block downloads in sandboxed iframes, unless the iframe is explicitly annotated with the allow-downloads attribute.
Edit: Dit zal dan in het sandbox attribuut zitten vermoed ik.

[Reactie gewijzigd door azerty op 5 oktober 2021 13:31]

block downloads in sandboxed iframes, unless the iframe is explicitly annotated with the allow-downloads attribute.
zie hier: https://developer.mozilla...ement/iframe#attr-sandbox
Uit het gelinkte artikel: "block downloads in sandboxed iframes, unless the iframe is explicitly annotated with the allow-downloads attribute."
Uit het bronartikel:
Unless the sandboxed content is explicitly annotated with the ‘allow-downloads’ attribute, Firefox will protect you against such drive-by downloads.
‘allow-downloads’ dus.

Edit: Oh, ik ben pas de vierde die dat zegt :+

[Reactie gewijzigd door Vihaio op 5 oktober 2021 13:38]

dit vaak zonder dat er interactie nog is.
Klein tikfoutje.

Spijtig dat ze er weeral voor opteren om een ja/nee popup te gebruiken. In een bijna-ideale wereld waarin deze popups schaars zijn en bijna nooit voorkomen is dit een goed idee. In een wereld waar je 15 keer per dag de popup krijgt daarentegen.....
Ik zit op het Firefox beta kanaal dus krijg dit soort nieuwe features vier weken eerder en ik ben in die vier weken intensief browsen welgeteld één keer deze melding tegengekomen. Je zou je verbazen hoe weinig sites er nog zijn zonder TLS, al helemaal als ze downloads aanbieden.
Komt deze update dan naar jouw mening te laat?
Ik denk zelf dat het wel meevalt. Het is een kleine wijziging in een rij van 'alle beetjes helpen' maar ik vraag me af hoeveel er actief gebruik gemaakt wordt van een soort Man-in-the-Middle aanval om downloadbare bestanden te infecteren. Kortom, de wijziging kan geen kwaad maar ik denk dat het voor de meeste mensen en gevallen geen verschil gaat maken, niet in toegenomen veiligheid en niet in afgenomen gebruikersgemak.
Anoniem: 193142
5 oktober 2021 13:47
Als de auto-updater nog geen nieuwe versie laat zien, dan kan je versie 93 hier al downloaden:

https://ftp.mozilla.org/pub/firefox/releases/93.0/

[Reactie gewijzigd door Anoniem: 193142 op 5 oktober 2021 13:47]

Je kunt nog wel vanuit een HTTP site downloaden met HTTP.
Klinkt me sterk als een doorklikmenu. Je krijgt straks dus een melding bij download, dan nog een melding dat het een exe is, dan een smartscreen melding etc. etc.
Leuk idee maar blokkeer het dan helemaal.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee