Pre-descarga de Firefox

Navega tus respuestas
18

Descubrí que si descarga un archivo con Firefox, aparece una ventana similar a esta que aparece (en holandés en mi caso):

("Bestand opslaan"="Guardar archivo")

Sin embargo, el archivo ya se está descargando antes de presionar el botón Ok (es decir, esperé 1 minuto antes de hacer clic en el botón Ok y ya se descargaron 50 Mb de 191 Mb).

¿Esta función tiene algún riesgo de seguridad (se podría descargar un archivo malicioso antes de que incluso tuviera la oportunidad de hacer clic en Cancel ) y debería encontrar una forma de desactivarlo o es perfectamente seguro?

    
pregunta Aerus 05.02.2013 - 16:54
fuente

4 respuestas

21

Técnicamente, la ventana emergente no le pregunta si realmente desea descargar el archivo; Esa decisión, ya tomó cuando hizo clic en el enlace que activó la descarga. La ventana emergente le pregunta qué debe hacer Firefox con el archivo cuando se haya descargado completamente.

Los archivos potencialmente hostiles pueden ser un problema de seguridad. Los sistemas de archivos normalmente almacenan archivos como un montón de bytes y, por lo tanto, son esencialmente inmunes al archivo contenidos ; pero los sistemas operativos modernos no están contentos con el manejo de archivos como archivos. Por ejemplo, si abre un explorador de archivos para ver el directorio en el que están almacenados los archivos descargados, y el archivo tiene un nombre que termina en '.jpg' o '.png', entonces el explorador de archivos intentará interpretar el contenido del archivo automáticamente, como una imagen, para calcular y mostrar una vista en miniatura de dicha imagen. Cualquier agujero de seguridad en la biblioteca de soporte de JPEG o PNG podría ser explotado por un archivo malicioso, y no requiere ningún "clic de apertura" en el archivo, simplemente abriendo el directorio .

La Web es un lugar duro.

    
respondido por el Tom Leek 05.02.2013 - 17:23
fuente
6

Para deshabilitarlo, simplemente escriba about: config en la barra de direcciones y busque network.prefetch-next.

Establezca esto en falso y no debería ocurrir ninguna descarga previa. - Esto no funciona en 18.0.2 en Ubuntu o Windows 7, aunque es el único método que he encontrado buscando en la web. He intentado varios otros ajustes, nada funcionó. Parece que este comportamiento no puede ser deshabilitado.

Suponiendo que el archivo contiene malware, cuando finalice la descarga previa, es posible que reciba una alerta de su antivirus.

Mientras no abras el archivo, debes estar seguro. Si hiciste clic en cancelar, Firefox simplemente eliminaría el archivo.

Por supuesto, siempre existe la posibilidad de que, junto con una cierta vulnerabilidad (en el navegador, en el software de indexación, etc.) se pueda crear un exploit, pero creo que esto es poco probable.

    
respondido por el Dinu S 05.02.2013 - 16:58
fuente
5

Puedo imaginar ciertas condiciones para que esto se convierta en un problema de seguridad:

  • El navegador descarga el archivo que desencadena una vulnerabilidad en el navegador de archivos como la vulnerabilidad WMF
  • Un escáner de virus podría comenzar a escanear el archivo parcialmente descargado y podría provocar una vulnerabilidad en el escáner. Sophos tenía algunos mala prensa recientemente.
  • Un archivo enorme que es altamente comprimible se descargaría muy rápidamente y podría usar todo el espacio de la unidad.
respondido por el Cristian Dobre 05.02.2013 - 17:04
fuente
5

Firefox no es "pre-descarga". Usted eligió comenzar la descarga seleccionando "Guardar enlace como" en el menú, o haciendo clic izquierdo en un enlace cuyo tipo de contenido no tiene un controlador interno o externo. Una vez que Firefox ha comenzado a descargarse, te solicita una ubicación para guardar. Mientras no haya ingresado a esa ubicación, descarga el archivo a un directorio temporal (depende de la plataforma), ya sea con el nombre de archivo predeterminado proporcionado por el servidor más un sufijo .part o con un nombre de archivo generado aleatoriamente (I creo que eso depende de la versión, quizás también de la plataforma).

Firefox debe comenzar a descargar antes de solicitarle un nombre de archivo, ya que el servidor puede proporcionar el nombre de archivo predeterminado: el enlace original podría ser una redirección (por lo tanto, Firefox debe iniciar la conexión y leer el código de respuesta). podría haber un nombre de archivo en un encabezado Content-Dispotition (por lo tanto, con una respuesta de 200, Firefox necesita leer los encabezados).

No hay riesgo de seguridad aquí. Cuando hace clic en algo en un navegador, se espera que el navegador establezca una conexión y descargue el contenido en ese enlace. Claro, podría haber problemas de seguridad (por ejemplo, el contenido puede desencadenar un error de navegador explotable), pero ese es un riesgo que toma al usar un navegador en primer lugar. Hacer que cada clic en un navegador muestre un cuadro de diálogo "¿estás seguro?" Sería una pesadilla de usabilidad, sin ningún beneficio de seguridad, ya que estarías haciendo clic en "sí" todo el tiempo de todos modos.

Bien, Firefox podría detener la descarga después de los encabezados. Pero eso no serviría para ningún propósito útil (además de ser malo para el rendimiento y la facilidad de uso). El exploit podría estar en los encabezados, después de todo.

    
respondido por el Gilles 06.02.2013 - 00:56
fuente

Lea otras preguntas en las etiquetas

¿Qué tan inseguros son los generadores de números aleatorios no criptográficos? ¿Se pueden rastrear las URL cuando se usa SSL? [duplicar]