Pre-download di Firefox

Naviga le tue risposte
18

Ho scoperto che se si scarica un file con Firefox, viene visualizzata una finestra simile a questa (in olandese nel mio caso):

("Bestand opslaan"="Salva file")

Tuttavia, il file è già in fase di download prima di premere il pulsante Ok (ovvero ho aspettato 1 minuto prima di fare clic sul pulsante Ok e già scaricato 50Mb di 191Mb).

Questa funzione ha alcuni rischi per la sicurezza (un file dannoso potrebbe essere scaricato prima che io abbia avuto anche la possibilità di fare clic su Cancel ) e dovrei trovare un modo per disabilitarlo o è perfettamente sicuro?

    
posta Aerus 05.02.2013 - 16:54
fonte

4 risposte

21

Tecnicamente, il popup non ti chiede se vuoi davvero scaricare il file; quella decisione, che hai già preso quando hai cliccato sul link che ha attivato il download. Il popup ti chiede cosa deve fare Firefox con il file quando è stato scaricato completamente.

I file potenzialmente ostili possono essere un problema di sicurezza. I filesystem normalmente memorizzano i file come un mucchio di byte e sono quindi nominalmente immuni al file contenuto ; ma i sistemi operativi moderni non si accontentano di gestire i file come file. Ad esempio, se apri un file explorer per vedere la directory in cui sono memorizzati i file scaricati e il file ha un nome che termina con ".jpg" o ".png", l'esploratore di file proverà a interpretare il contenuto del file automaticamente, come un'immagine, in modo da calcolare e visualizzare una vista in miniatura della suddetta immagine. Qualsiasi buco di sicurezza nella libreria di supporto JPEG o PNG potrebbe quindi essere sfruttato da un file dannoso e non richiede alcun "clic di apertura" sul file, semplicemente aprendo la directory .

Il Web è un luogo difficile.

    
risposta data 05.02.2013 - 17:23
fonte
6

Per disattivarlo basta scrivere about: config nella barra degli indirizzi e cercare network.prefetch-next .

Impostare su false e non dovrebbe verificarsi alcun download preliminare. - Questo non funziona su 18.0.2 su Ubuntu o Windows 7, anche se è l'unico metodo che ho trovato cercando sul web. Ho provato varie altre impostazioni, niente ha funzionato. Sembra che questo comportamento non possa essere disabilitato.

Supponendo che il file contenga malware, quando il pre-download è terminato, potresti ricevere un avviso dal tuo antivirus.

Finché non apri il file, dovresti essere al sicuro. Se hai fatto clic su Annulla, Firefox eliminerebbe semplicemente il file.

Naturalmente, c'è sempre una possibilità che insieme a una certa vulnerabilità (nel browser, nel software di indicizzazione, ecc.) si possa costruire un exploit, ma penso che sia improbabile.

    
risposta data 05.02.2013 - 16:58
fonte
5

Posso immaginare che determinate condizioni diventino un problema di sicurezza:

  • Il browser scarica il file che attiva una vulnerabilità nel browser di file come la vulnerabilità WMF
  • Uno scanner antivirus potrebbe avviare la scansione del file parzialmente scaricato e potrebbe innescare una vulnerabilità nello scanner. Sophos aveva di recente cattiva stampa di recente.
  • Un file enorme che è altamente comprimibile si scaricherà molto rapidamente e potrebbe utilizzare tutto lo spazio su disco.
risposta data 05.02.2013 - 17:04
fonte
5

Firefox non è "pre-download". Hai scelto di avviare il download selezionando "Salva collegamento come" nel menu o facendo clic con il tasto sinistro su un collegamento il cui tipo di contenuto non ha un gestore interno o esterno. Una volta che Firefox ha iniziato a scaricare, ti viene richiesta una posizione di salvataggio. Finché non hai inserito quella posizione, scarica il file in una directory temporanea (dipendente dalla piattaforma), con il nome del file predefinito fornito dal server più un suffisso .part o con un nome di file generato a caso (I pensa che dipende dalla versione, forse anche dalla piattaforma).

Firefox deve iniziare il download prima di richiedere un nome file, perché il nome del file predefinito può essere fornito dal server: il link originale potrebbe essere un reindirizzamento (quindi Firefox deve iniziare la connessione e leggere il codice di risposta, e potrebbe esserci un nome file in un'intestazione Content-Dispotition (quindi con una risposta 200, Firefox deve leggere le intestazioni).

Qui non ci sono rischi per la sicurezza. Quando fai clic su qualcosa in un browser, è previsto che il browser stabilisca una connessione e scarichi il contenuto su quel link. Certo, potrebbero esserci problemi di sicurezza (ad esempio, il contenuto potrebbe innescare un bug sfruttabile del browser), ma questo è un rischio che si prende usando un browser in primo luogo. Per fare in modo che ogni clic in un browser compaia, la finestra di dialogo "Sei sicuro?" Sarebbe un incubo per l'usabilità, senza alcun vantaggio in termini di sicurezza, dal momento che farebbe comunque clic su "Sì" in ogni caso.

Ok, Firefox potrebbe sospendere il download dopo le intestazioni. Ma questo non servirebbe a nessuno scopo utile (oltre a essere cattivo per prestazioni e usabilità). L'exploit potrebbe essere nelle intestazioni, dopotutto.

    
risposta data 06.02.2013 - 00:56
fonte

Leggi altre domande sui tag

Come funziona veramente shellcode? Si può usare https invece di sftp per trasferimenti sicuri di file?