it-swarm.com.de

Ist die Verzögerung der Schaltfläche zum Speichern in einem Firefox-Download-Dialog eine Sicherheitsfunktion? Was schützt es?

Wenn ich auf klicke, um eine Datei über Firefox herunterzuladen, wird ein Dialogfenster angezeigt, in dem ich gefragt werde, ob ich die Datei irgendwo speichern oder sofort nach dem Herunterladen öffnen möchte.

(Screenshot of a Firefox download dialog

Die Schaltfläche OK im Dialogfenster wird deaktiviert gestartet und erst aktiviert, wenn der Dialog etwa eine Sekunde lang scharfgestellt wurde. Der Dialog ist nicht modal, und wenn ich mich auf ein anderes Fenster konzentriere, wird die Schaltfläche OK deaktiviert und erst wieder aktiviert, wenn das Fenster eine Sekunde lang den Fokus gehalten hat.

Meine Partnerin beklagte sich über dieses Design und fragte mich, warum sie nicht einfach auf OK klicken könne, um es sofort herunterzuladen. Ich antwortete, dass ich immer gedacht habe, es sei ein Sicherheitsmerkmal. Jetzt, wo ich darüber nachdenke, bin ich mir nicht sicher, welches Verhalten es verhindern könnte. Ich hätte gedacht, dass es eine böswillige Website daran hindern könnte, eine Datei heimlich herunterzuladen, indem das Download-Fenster mindestens so lange geöffnet bleibt, um zu sehen, was los ist - es sollte jedoch möglich sein, dass eine Website Inhalte heimlich im Hintergrund herunterlädt wie auch immer. Unabhängig davon gehe ich davon aus, dass die meisten Benutzer irgendwann auf das Feld "Von nun an automatisch ausführen" geklickt hätten und daher trotzdem ungeschützt wären ...

Ist das also ein Sicherheitsmerkmal? Wenn ja, wovor schützt es?

246
Numeron

Ja, es handelt sich um eine Sicherheitsfunktion. Der Zweck der Verzögerung besteht darin, Angriffe zu verhindern, bei denen der Benutzer dazu verleitet wird, Eingaben einzugeben, um den Dialog zu überspringen, indem er unerwartet angezeigt wird, wenn der Benutzer gerade mehrere Tastendrücke oder eine Maus eingibt Klicks in schneller Folge. Die beiden Beispiele in dieser Blog-Beitrag zur Erläuterung der Funktion sind:

  • Ein CAPTCHA, das den Benutzer auffordert, das Wort only einzugeben. Wenn sie n drücken, wird ein Speicherdialog angezeigt, und der Benutzer drückt sofort l und dann y, was in einigen Browsern die Tastenkombination für OK ist. unbeabsichtigtes Bestätigen des Downloads
  • Eine Webseite, die den Benutzer davon überzeugt, irgendwo auf den Bildschirm zu doppelklicken. Sie ist so positioniert, dass sich der Mauszeiger beim Öffnen des Dialogfelds nach dem ersten Klick direkt über der Schaltfläche "OK" befindet und sofort bestätigt wird.

Wenn Sie die Taste einige Sekunden lang deaktivieren, hat die Eingabe keine Auswirkung.

Mozilla-Fehlerbericht über das Problem

351
samgak

Stellen wir uns vor, es gibt keine Verzögerung, die Standardaktion für ausführbare Dateien besteht darin, sie zu öffnen, und es gibt eine Verzögerung, bevor die Seite den Dateidownload anfordert. Theoretisch könnten Sie versehentlich einen Virus auslösen, wenn Sie genau zum Zeitpunkt des Auftauchens des Dialogfelds etwas eingeben. Unglaublich selten, aber ich bin sicher, dass es irgendwo jemandem passiert ist.

Unter dem Gesichtspunkt der Benutzererfahrung ist der Benutzer weniger böswillig und drückt möglicherweise die Leertaste oder die Eingabetaste, wenn das Dialogfeld angezeigt wird, und akzeptiert daher die Standardaktion und möglicherweise die falsche Aktion. Die kurze Verzögerung verhindert, dass der Benutzer versehentlich die falsche Option auswählt.

Obwohl ich bezweifle, dass diese Funktion tatsächlich dazu gedacht war, irgendetwas zu schützen (ich würde meinem Antivirenprogramm lieber diese Aufgabe anvertrauen), stelle ich fest, dass ich weniger wahrscheinlich versehentlich das Falsche mit der Datei mache, wenn die Benutzeroberfläche meine Eingaben löscht und sicherstellt Ich wollte eigentlich etwas Action machen.

15
phyrfox

Es gibt eine Sache, die in keiner der anderen Antworten erwähnt wurde: viele Benutzer klicken auf OK und laden sie herunter, ohne das Popup-Fenster zu lesen.

Wenn ein Benutzer versehentlich eine schädliche Datei herunterlädt (oder dazu verleitet wurde) und klickt OK Wenn sie instinktiv die heruntergeladene Datei nicht lesen und überprüfen, können wichtige Sicherheitsinformationen wie Größe, Dateityperweiterung und Speicherort der herunterzuladenden Datei übersehen werden.

Durch Deaktivieren der OK Für einige Sekunden zwingt Firefox Benutzer, zweimal nachzudenken und zu überprüfen, was sie herunterladen.

11
angussidney