这一功能在当前的Chrome Canary版本中已经很活跃,并计划在Chrome 73的稳定版本中发布,该版本计划在3月或4月发布。
“Drive-by download”是信息安全(information security, infosec)行业中使用的一个术语,用于描述在用户不知情的情况下进行的下载。
并不是所有的Drive-by download都被认为是恶意的,因为有些url是在访问时触发文件下载的。
然而,当从隐藏在代码中的iframe元素在web页面上触发下载时,这些类型的下载本质上几乎都是恶意的。
这些通常发生在iframe元素显示的广告包含恶意代码,这些代码会触发Drive-by download,或者当用户访问一个被黑客攻击的网站时,黑客留下一个隐藏的iframe来感染访问的用户。
谷歌在本周早些时候发布的一份包含其功能实现计划的公共文档中表示:“我们计划防止在没有用户手势的沙盒iframes中进行下载,如果沙盒属性列表中出现‘允许下载 - 无用户激活’的关键字,就可以解除这一限制。”
谷歌打算在所有Chrome版本中添加Drive-by download保护,但iOS版本除外,iOS版本不是基于Chromium引擎,而是基于WebKit (Safari的引擎),目前还不支持这种保护。
至少从2015年开始,像IE和Firefox这样的浏览器已经屏蔽了多年的驱动下载。
因为这是一个非常有用的安全特性,其他基于Chromium的浏览器——如Opera、Vivaldi、Brave,以及微软的Edge——也将部署它。
从长远来看,这一功能有望阻止相当多的恶意活动——犯罪集团将恶意代码隐藏在广告中,以将恶意软件相关的文件投放到用户的电脑上。
根据Chrome的统计数据,大约0.002117%的加载到Chrome的页面会触发一次下载。