Il ritardo del pulsante di salvataggio in una finestra di dialogo di download di Firefox è una funzionalità di sicurezza? Cosa protegge?

240

Quando faccio clic per scaricare un file tramite Firefox, viene visualizzata una finestra di dialogo che mi chiede se voglio salvare il file da qualche parte o aprirlo immediatamente dopo il download.

IlpulsanteOKnellafinestradidialogosidisattivaenonsiattivafinoaquandolafinestradidialogononhamessoafuocopercircaunsecondo.Lafinestradidialogononèmodalee,semiconcentrosuun'altrafinestra,ilpulsanteOKsidisattiveràenonsiriattiveràpiùfinchélafinestranonavràmessoafuocoperunsecondo.

IlmiocompagnosièlamentatoperquestodisegnoemihachiestoperchénonpotevasemplicementecliccareOKperscaricareimmediatamente-horispostochehosemprepensatochefosseunafunzionalitàdisicurezza.Orachecipensocomunque,nonsonosicurodiqualecomportamentosipossaprevenire.AvreipensatochepotesseimpedireaqualchesitoWebmalevolodiscaricareunfilesegretamenteforzandolafinestradidownloadarimanereapertaalmenoperiltemponecessarioavederecosastavasuccedendo-tuttaviadovrebbeesserepossibileperunsitoscaricareleinformazionisegretamenteinbackgroundComunque.Indipendentementedalfattochepresumochelamaggiorpartedegliutentiabbiacliccatosu"fai questo automaticamente d'ora in poi" ad un certo punto, e quindi non essere protetto comunque ...

Quindi, questa è una funzione di sicurezza? Se sì, di cosa protegge?

    
posta Numeron 21.03.2016 - 07:32
fonte

5 risposte

347

Sì, è una funzione di sicurezza e lo scopo del ritardo è prevenire gli attacchi basati sull'ingannare l'utente nell'immissione di input per saltare oltre la finestra di dialogo spuntando inaspettatamente quando l'utente si trova nel mezzo di immettere più chiavi pressioni o clic del mouse in rapida successione. I due esempi forniti in questo post del blog che spiegano la funzione sono:

  • Un CAPTCHA che chiede all'utente di digitare la parola only . Quando premono n , viene visualizzata una finestra di salvataggio, quindi l'utente preme immediatamente l e poi y , che è la scorciatoia da tastiera per OK su alcuni browser, confermando involontariamente il download
  • Una pagina web che convince l'utente a fare doppio clic da qualche parte sullo schermo, posizionata in modo tale che quando la finestra di dialogo si apre dopo il primo clic, il puntatore del mouse si trova proprio sopra il pulsante "OK", il che significa che lo confermano immediatamente.

Disabilitando il pulsante per diversi secondi, l'input non ha alcun effetto.

Rapporto bug di Mozilla sul problema

    
risposta data 21.03.2016 - 08:24
fonte
14

Immaginiamo che non ci sia alcun ritardo, l'azione predefinita per i file eseguibili è di aprirla, e c'è un po 'di ritardo prima che la pagina richieda il download del file. In teoria, potresti eseguire accidentalmente un virus se stai scrivendo qualcosa nel momento esatto in cui è comparsa la finestra di dialogo. Incredibilmente raro, ma sono sicuro che sia successo a qualcuno da qualche parte.

Meno maliziosamente, dal punto di vista dell'esperienza utente, l'utente potrebbe trovarsi nel mezzo dello spazio pressante o Invio a destra quando viene visualizzata la finestra di dialogo, accettando quindi l'azione predefinita e, eventualmente, errata. Il breve ritardo impedisce all'utente di selezionare accidentalmente l'opzione sbagliata.

Anche se dubito che questa funzione fosse in realtà destinata a proteggere qualsiasi cosa (preferisco fidarmi del mio antivirus per quell'attività), trovo che sia meno probabile che accidentalmente faccia la cosa sbagliata con il file quando l'interfaccia utente cancella il mio input e mi assicura che in realtà intendevo fare qualche azione.

    
risposta data 21.03.2016 - 08:23
fonte
11

C'è una cosa che nessuna delle altre risposte ha menzionato: molti utenti fanno clic su OK e scaricano senza leggere la finestra popup .

Se un utente dovesse scaricare accidentalmente un file dannoso (o è stato ingannato), e fa clic su OK sull'istinto senza leggere e controllare il file che sta scaricando, potrebbe perdere la sicurezza importante informazioni quali la dimensione, l'estensione del tipo di file e la posizione del file che sta per essere scaricato.

Disabilitando OK per alcuni secondi, Firefox obbliga gli utenti a pensarci due volte e a controllare cosa stanno scaricando.

    
risposta data 22.03.2016 - 07:35
fonte
-2

Alcuni programmi possono attivare pressioni di tasti nel tuo browser web. Dai uno sguardo al metodo SendKeys() di VBScript

.

Questo metodo invia le chiavi alla finestra attualmente focalizzata e può inviare pulsanti come ALT, TAB e / o ENTER.

In un'applicazione Windows Form, uno sviluppatore malintenzionato può implementare SendKeys.Send() metodo e fai alcune cose cattive, come Alt-tab su Firefox e fai clic su" Ok "su un link per il download dannoso.

    
risposta data 23.03.2016 - 06:13
fonte
-5

Credo che questo sia per assicurarsi che l'utente veda la finestra di dialogo.
Esistono più vettori di attacco rispetto al trucco di battitura dell'utente già descritto in altre risposte.
Ad esempio hack basati su HID USB. Questa è solo una misura contro i vettori di attacco sia noti che sconosciuti. Non solo per patchare determinati set di minacce conosciute.

    
risposta data 21.03.2016 - 13:24
fonte

Leggi altre domande sui tag