O Firefox bloqueará URIs de dados de navegação como parte de um recurso anti-Phishing

O Mozilla em breve bloqueará o carregamento de URIs de dados na barra de navegação do Firefox como parte de uma repressão em sites de phishing que abusam desse protocolo.

Os dados: o esquema URI (RFC 2397) foi implantado em 1998, quando os desenvolvedores estavam procurando maneiras de incorporar arquivos em outros arquivos. O que eles criaram foi o esquema de dados URI que permite que um desenvolvedor carregue um arquivo representado como um fluxo de octetos codificado por ASCII dentro de outro documento.

Desde então, o esquema URI tornou-se muito popular entre os desenvolvedores de sites, pois permite incorporar arquivos de texto ou arquivos de imagem (PNG, JPEG) em documentos HTML em vez de carregar cada recurso através de uma solicitação HTTP separada.

Esta prática tornou-se extremamente popular porque os motores de busca começaram a classificar os sites com base na velocidade de carregamento da página e, quanto mais solicitações HTTP fizerem um site, mais lento é carregado e, mais afetada é a posição SERP do site.

 

Os navegadores começam a bloquear URIs de dados para fins de navegação

Essas URIs de dados também podem ser carregados dentro da barra de navegação do navegador para renderizar o arquivo diretamente e, em seguida, usar código malicioso adicional para ocultar o URL real.

Um esquema de URL que já foi desenvolvido para “incorporar arquivos em outros arquivos” tornou-se um “método de navegação” em navegadores modernos.

Navegadores como o Google Chrome e o Microsoft Edge viram o abuso e atuaram movendo-se para bloquear o carregamento de URI de dados dentro da barra de navegação de URL. Agora, o Mozilla está fazendo o mesmo para o Firefox.

O Firefox junta-se ao Chrome e ao Edge no bloqueio de URIs de dados de navegação

Um engenheiro da Mozilla agora apontou o Bleeping Computer para uma série de entradas no rastreador de erros da Fundação, onde os desenvolvedores do Firefox estão trabalhando para endurecer o navegador contra o uso incorreto de URI de dados, semelhante ao que o Chrome e o Edge já implementaram.

Bloqueio URI de dados que chega no Firefox 59

A Mozilla já começou a implementar os mecanismos de bloqueio de URIs de dados desde o Firefox 56, mas eles estão oficialmente programados para serem atualizados para todos os usuários no Firefox 59.

O bloqueio de URI de dados já está ativo no Firefox Nightly e Developer Edition. O recurso não está ativo no Firefox 57 lançado recentemente.

Os usuários podem ativar o bloqueio de URI de dados no Firefox 56 e 57 digitando “about:confi” na barra de URL e acessando o painel de configuração oculto do Firefox.

Lá, deve-se procurar por “security.data_uri.block_toplevel_data_uri_navigations” e clicar duas vezes para habilitar o recurso no Firefox.

Se tudo for bem sucedido, quando clicar em links que apontam para URI de dados, o link se recusará a carregar, semelhante ao GIF abaixo.O Firefox bloqueará URIs de dados de navegação como parte de um recurso anti-Phishing

BLEEPING COMPUTER

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *