Firefox zal downloads via http op https-websites in versie 93 voortaan standaard blokkeren. Downloads afkomstig van gesandboxte iframes worden ook geblokkeerd, tenzij het iframe een attribuut bevat dat downloads toelaat.
Op het moment dat Firefox 93 een download via http opmerkt, zal er een prompt verschijnen waarmee de gebruiker kan kiezen om het te downloaden bestand alsnog binnen te halen of het proces te annuleren. Via deze melding wordt medegedeeld dat er een onbeveiligde http-verbinding is vastgesteld en er een 'potentieel beveiligingsrisico' heerst.
"Via een onveilige http-verbinding kan een hacker te downloaden bestanden aanpassen of zelfs vervangen door schadelijke bestanden", klinkt het op de blog van Mozilla. "Hierdoor kan een heel systeem geïnfecteerd geraken."
Het downloaden van bestanden via gesandboxte iframes wordt in versie 93 ook geblokkeerd. Deze iframes dienen vaak om content van derde partijen te embedden op een website maar worden volgens Mozilla ook gebruikt om drive-by downloads uit te voeren. Bij dit type downloads worden er ongevraagd bestanden gedownload naar de computer van een gebruiker, dit vaak zonder dat er interactie voor nodig is. Dat wordt standaard onmogelijk gemaakt, tenzij de specifieke iframe een attribuut in zijn code bevat dat downloads toelaat.
Firefox 93 wordt vanaf vandaag uitgerold naar alle gebruikers.