更安全的下载方式 谷歌Chrome添加下载驱动保护

　　1月27日消息，谷歌的工程师们已经开始在Chrome的开源浏览器引擎Chromium中添加“免下车下载”保护。

　　对于非技术用户来说，“免下车下载”是信息安全行业中使用的一个术语，用于描述在用户不知情的情况下进行的下载。虽然并不是所有的驱动下载都被认为是恶意的，但当从隐藏在代码中在页面上触发下载时，这些类型的下载本质上几乎都是恶意的。这些通常发生在广告包含恶意代码，这些代码会触发下载，或者当用户访问一个被黑客攻击的网站时，黑客留下一个隐藏的iframe来感染访问的用户。

　　谷歌在本周早些时候发布的一份包含其功能实现计划的公共文档中表示：谷歌计划防止在没有用户手势的沙盒iframes中进行下载，如果沙盒属性列表中出现“允许下载但不激活用户”的关键字，就可以解除这一限制。谷歌打算在所有Chrome版本中添加“免下车下载”保护，但iOS版本除外，因为iOS版本不是基于Chromium引擎，而是基于WebKit (Safari的引擎)，目前还不支持这种保护。

　　据悉，从2015年开始，像ie和Firefox这样的浏览器已经屏蔽了多年的驱动下载。因为这是一个非常有用的安全保护，其他基于Chromium的浏览器，如Opera、Vivaldi、Brave，以及微软的Edge，也将要设置它。从长远来看，这一功能有望阻止相当多的恶意活动。

　　目前，这一功能在当前的Chrome Canary版本中已被设置，并计划在Chrome 73的稳定版本中发布，该版本计划在3月或4月发布。据Chrome的统计数据，大约0.002117%的加载到Chrome的页面会触发一次下载。

本文编辑：杨婷