¿El retraso del botón de guardar en el cuadro de diálogo de descarga de Firefox es una característica de seguridad? ¿Qué protege?

240

Cuando hago clic para descargar un archivo a través de Firefox, aparece una ventana de diálogo que me pregunta si quiero guardar el archivo en algún lugar o abrirlo inmediatamente una vez descargado.

ElbotónAceptarenlaventanadediálogocomienzadeshabilitado,ynosehabilitahastaqueelcuadrodediálogohayaestadoenfocadoporalrededordeunsegundo.Eldiálogonoesmodal,ysimeenfocoenotraventana,elbotónAceptarsedeshabilitaráynuevamentenosevolveráahabilitarhastaquelaventanasehayamantenidoenfocadaporunsegundo.

MicompañeroselamentóporestediseñoymepreguntóporquénopodíasimplementehacerclicenAceptarparadescargarloinmediatamente.Respondíquesiemprepenséqueeraunacaracterísticadeseguridad.Ahoraquelopienso,sinembargo,noestoyseguroexactamentequécomportamientopodríaestarpreviniendo.Penséquepodríaevitarquealgúnsitiowebmalintencionadodescargueunarchivoensecretoalforzaralaventanadedescargasapermanecerabiertadurantealmenoseltiemposuficienteparaverquéestápasando.Sinembargo,deberíaserposiblequeunsitiodescarguecosasensecretoensegundoplano.detodasformas.Encualquiercaso,supongoquelamayoríadelosusuarioshabríanhechoclicenelcuadro"hacerlo de ahora en adelante" en algún momento y, por lo tanto, estarían desprotegidos de todos modos ...

Entonces, ¿es esta una característica de seguridad? Si es así, ¿contra qué protege?

    
pregunta Numeron 21.03.2016 - 07:32
fuente

5 respuestas

347

Sí, es una función de seguridad, y el propósito de la demora es evitar ataques basados en engañar al usuario para que ingrese la entrada para que se salte del cuadro de diálogo al aparecer de forma inesperada cuando el usuario está ingresando varias teclas. Presiones o clics del mouse en rápida sucesión. Los dos ejemplos que se dan en esta publicación del blog explicando la característica son:

  • Un CAPTCHA que le pide al usuario que escriba la palabra only . Cuando presionan n , aparece un cuadro de diálogo para guardar, y luego el usuario presionará de inmediato l y luego y , que es el método abreviado de teclado para aceptar en algunos navegadores, confirmando involuntariamente la descarga
  • Una página web que convence al usuario de hacer doble clic en algún lugar de la pantalla, posicionada de modo que cuando el cuadro de diálogo se abre después del primer clic, el puntero del mouse se encuentra sobre el botón "Aceptar", lo que significa que lo confirman de inmediato.

Al deshabilitar el botón durante varios segundos, la entrada no tiene efecto.

Informe de error de Mozilla sobre el problema

    
respondido por el samgak 21.03.2016 - 08:24
fuente
14

Imaginemos que no hay demora, la acción predeterminada para los archivos ejecutables es abrirlo y que hay cierta demora antes de que la página solicite la descarga del archivo. En teoría, podría ejecutar un virus accidentalmente si estuviera escribiendo algo en el momento exacto en que apareció el cuadro de diálogo. Increíblemente raro, pero estoy seguro de que le ha pasado a alguien en algún lugar.

Menos maliciosamente, desde el punto de vista de la experiencia del usuario, el usuario podría estar presionando el espacio o Entrar justo cuando aparece el cuadro de diálogo, por lo que acepta la acción predeterminada y posiblemente incorrecta. El breve retraso evita que el usuario seleccione accidentalmente la opción incorrecta.

Aunque dudo que esta función estuviera realmente diseñada para proteger algo (preferiría confiar en mi antivirus para esa tarea), me parece que es menos probable que haga algo incorrecto con el archivo cuando la IU borra mi información. y se asegura de que realmente quería realizar alguna acción.

    
respondido por el phyrfox 21.03.2016 - 08:23
fuente
11

Hay una cosa que ninguna de las otras respuestas ha mencionado: muchos usuarios hacen clic en Aceptar y descargan sin leer la ventana emergente .

Si un usuario descargara un archivo malicioso accidentalmente (o lo engañaron para hacerlo), y hace clic en OK en el instinto sin leer y revisar el archivo que está descargando, entonces podrían perder la seguridad. información como el tamaño, la extensión del tipo de archivo y la ubicación del archivo que se va a descargar.

Al desactivar OK durante unos segundos, Firefox obliga a los usuarios a pensar dos veces y comprobar qué están descargando.

    
respondido por el angussidney 22.03.2016 - 07:35
fuente
-2

Algunos programas pueden invocar pulsaciones de teclas en su navegador web. Eche un vistazo al método SendKeys() de VBScript.

Este método envía claves a la ventana enfocada actualmente y puede enviar botones como ALT, TAB y / o ENTER.

En una aplicación de Windows Forms, un desarrollador malintencionado puede implementar el SendKeys.Send() y haga algunas cosas malas, como Alt-tab sobre Firefox y haga clic en" Aceptar "en un enlace de descarga malintencionado.

    
respondido por el DDPWNAGE 23.03.2016 - 06:13
fuente
-5

Creo que esto es para garantizar que el usuario vea el cuadro de diálogo.
Hay más vectores de ataque que el truco de escritura del usuario que ya se describió en otras respuestas.
Por ejemplo, hacks basados en USB HID. Esto es solo una medida contra los vectores de ataque conocidos y desconocidos. No solo para parchear un conjunto particular de amenaza conocida.

    
respondido por el Curious Sam 21.03.2016 - 13:24
fuente

Lea otras preguntas en las etiquetas