¿El retraso del botón de guardar en el cuadro de diálogo de descarga de Firefox es una característica de seguridad? ¿Qué protege?

Sí, es una función de seguridad, y el propósito de la demora es evitar ataques basados en engañar al usuario para que ingrese la entrada para que se salte del cuadro de diálogo al aparecer de forma inesperada cuando el usuario está ingresando varias teclas. Presiones o clics del mouse en rápida sucesión. Los dos ejemplos que se dan en esta publicación del blog explicando la característica son:

• Un CAPTCHA que le pide al usuario que escriba la palabra only . Cuando presionan n , aparece un cuadro de diálogo para guardar, y luego el usuario presionará de inmediato l y luego y , que es el método abreviado de teclado para aceptar en algunos navegadores, confirmando involuntariamente la descarga
• Una página web que convence al usuario de hacer doble clic en algún lugar de la pantalla, posicionada de modo que cuando el cuadro de diálogo se abre después del primer clic, el puntero del mouse se encuentra sobre el botón "Aceptar", lo que significa que lo confirman de inmediato.

Al deshabilitar el botón durante varios segundos, la entrada no tiene efecto.

Informe de error de Mozilla sobre el problema

Imaginemos que no hay demora, la acción predeterminada para los archivos ejecutables es abrirlo y que hay cierta demora antes de que la página solicite la descarga del archivo. En teoría, podría ejecutar un virus accidentalmente si estuviera escribiendo algo en el momento exacto en que apareció el cuadro de diálogo. Increíblemente raro, pero estoy seguro de que le ha pasado a alguien en algún lugar.

Menos maliciosamente, desde el punto de vista de la experiencia del usuario, el usuario podría estar presionando el espacio o Entrar justo cuando aparece el cuadro de diálogo, por lo que acepta la acción predeterminada y posiblemente incorrecta. El breve retraso evita que el usuario seleccione accidentalmente la opción incorrecta.

Aunque dudo que esta función estuviera realmente diseñada para proteger algo (preferiría confiar en mi antivirus para esa tarea), me parece que es menos probable que haga algo incorrecto con el archivo cuando la IU borra mi información. y se asegura de que realmente quería realizar alguna acción.

Hay una cosa que ninguna de las otras respuestas ha mencionado: muchos usuarios hacen clic en Aceptar y descargan sin leer la ventana emergente .

Si un usuario descargara un archivo malicioso accidentalmente (o lo engañaron para hacerlo), y hace clic en OK en el instinto sin leer y revisar el archivo que está descargando, entonces podrían perder la seguridad. información como el tamaño, la extensión del tipo de archivo y la ubicación del archivo que se va a descargar.

Al desactivar OK durante unos segundos, Firefox obliga a los usuarios a pensar dos veces y comprobar qué están descargando.

Algunos programas pueden invocar pulsaciones de teclas en su navegador web. Eche un vistazo al método SendKeys() de VBScript.

Este método envía claves a la ventana enfocada actualmente y puede enviar botones como ALT, TAB y / o ENTER.

En una aplicación de Windows Forms, un desarrollador malintencionado puede implementar el SendKeys.Send() y haga algunas cosas malas, como Alt-tab sobre Firefox y haga clic en" Aceptar "en un enlace de descarga malintencionado.

Creo que esto es para garantizar que el usuario vea el cuadro de diálogo.
Hay más vectores de ataque que el truco de escritura del usuario que ya se describió en otras respuestas.
Por ejemplo, hacks basados en USB HID. Esto es solo una medida contra los vectores de ataque conocidos y desconocidos. No solo para parchear un conjunto particular de amenaza conocida.