Kỹ sư bảo mật thuộc đội ngũ Google Chrome Emily Clark mới đây đã đề xuất bổ sung thêm tính năng tự động ngăn chặn các hoạt động download có rủi ro cao, xuất phát từ những trang web không được bảo mật trong các phiên bản tương lai của nền tảng trình duyệt được sử dụng phổ biến nhất thế giới này.
Điều này có nghĩa là người dùng sẽ không còn có thể tiến hành tải xuống các tệp thực thi hoặc tệp lưu trữ được phân phối thông qua kết nối HTTP kém an toàn, nhưng lại được khởi tạo từ các trang web HTTPS. Chrome sẽ được trang bị thuật toán giúp tự động nhận biết và đánh dấu các website kiểu này dưới dạng nội dung hỗn hợp và sẽ tự động chặn bất cứ hoạt động download nào xuất phát từ chúng.
"Chúng tôi muốn đạt được một sự cân bằng hợp lý hơn giữa khả năng tương thích/gián đoạn người dùng (user-disruption) và mức độ cải thiện trong khâu bảo mật từ xa, vì vậy Chrome đang cân nhắc đưa ra biện pháp xử lý, hay nói đúng hơn là kiểm soát một số hoạt động download dữ liệu có rủi ro cao trên internet. Những dữ liệu, nội dung như vậy có thể được đánh dấu dưới dạng nội dung hỗn không đảm bảo và trình duyệt sẽ tự động chặn chúng", Emily Clark, người đứng đầu nhóm các chuyên gia bảo mật thuộc đội ngũ Google Chrome chia sẻ.
Theo đề xuất của vị chuyên gia này, Chrome sẽ gắn cờ các tệp "exes, dmgs và crxs dưới dạng tệp thực thi và zip, gzip, rar, tar, bzip,... dưới dạng tệp lưu trữ". Danh sách đầy đủ các loại tệp được nhắm mục tiêu có sẵn TẠI ĐÂY.
Chúng tôi vẫn đang hoàn thiện các số liệu của mình trước khi có thể bắt tay vào chia sẻ chúng một cách công khai, nhưng ngay từ bây giờ, chúng tôi nhận thấy rằng việc chặn một tập hợp các loại tệp có rủi ro cao (tệp thực thi và tệp lưu trữ, được xác định bởi tiêu đề Content-Type hoặc mime-type) có vẻ như sẽ khả thi", kỹ sư Emily Clark nói thêm.
Trong một động thái liên quan, trưởng nhóm bảo mật của Mozilla, Daniel Veditz cũng bày tỏ sự quan tâm đặc biệt của mình đến việc bổ sung tính năng tương tư trong Firefox.
Các kỹ sư bảo mật Chrome đã chia sẻ một cuộc thăm dò ý kiến công khai trên Twitter để hỏi những người theo dõi rằng các bản tải xuống không an toàn có nguy cơ cao có nên được coi là nội dung hỗn hợp và bị Chrome chặn hay không. Kết quả là có đến 75% trong tổng số 251 phiếu bầu đồng ý với kế hoạch này.
Hiện tại, mục tiêu cao nhất của đội ngũ bảo mật Chrome là biết nền tảng này trở thành một trong những trình duyệt có thể đem lại cho người dùng trải nghiệm an toàn hàng đầu thế giới. Những nỗ lực rất đáng ghi nhận trước đó có thể kế đến như việc bổ sung thêm tính năng chặn chuyển hướng dưới tab, liệt kê danh sách đen Adobe Flash và thêm hỗ trợ HTML5 làm tùy chọn mặc định, cũng như ngăn hành vi tiêm mã của các ứng dụng bên thứ ba, và vô hiệu hóa thức truyền dẫn tầng bảo mật (TLS) 1.0 và 1.1.
Gần đây, một đề xuất vốn đã được đưa ra vào năm 2013 bởi Mike West của Google trong việc tự động chặn các lượt tải xuống có nguồn gốc từ những trang web iframe đã được đội ngũ Chrome cân nhắc trở lại và đề xuất công khai vào cuối tháng 1 năm 2019.
Ngoài ra, Google cũng tiết lộ rằng họ dự định sẽ bổ sung thêm tính năng tự động chặn tất cả các bản tải xuống được bắt đầu từ các khung quảng cáo không chứa chức năng kích hoạt người dùng (user activation), như một phần trong nỗ lực lớn hơn của gã khổng lồ phần mềm này trong việc tăng cường khả năng bảo mật cho người dùng Chrome bằng cách ngăn chặn các hoạt động download chứa rủi ro tiềm ẩn không an toàn.
Thêm bình luận