Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Chrome meldet "<Datei> ist ein ungewöhnlicher Download und könnte schädlich sein"
50 views
Skip to first unread message
Michael Landenberger
Mar 22, 2021, 7:32:19 AM3/22/21
to
Hallo,
ich möchte auf meiner Website Dateien zum Download (ZIP-Archive) anbieten. Der
Download wird allerdings nicht direkt bereitgestellt, sondern über ein
PHP-Skript, d. h. die Download-Links auf der Seite verweisen auf das Skript,
nicht auf die Zip-Dateien. Das Skript liest die Dateien mit der PHP-Funktion
readfile() ein und liefert sie dann an den Client aus.
Im Prinzip funktioniert alles wie gewünscht, allerdings gibt Google Chrome
(89.0.4389.90) die im Betreff genannte Warnung aus. Ich wüsste nun gerne, was
der Grund dafür ist, und würde das gerne abstellen. BTW: dass die Dateien über
den Umweg über das PHP-Skript bereitgestellt werden, spielt keine Rolle. Auch
beim direkten Download der ZIP-Archive (den ich testweise mal aktiviert habe)
kommt die Meldung.
Hier die Fakten:
1. Die Archive enthalten definitiv keine schädlichen Inhalte. Es sind zwar
.exe-Dateien enthalten, aber diese wurden von mir selbst programmiert und sind
garantiert harmlos. Allerdings sind die .exes nicht signiert.
2. Die Seite verfügt über ein gültiges HTTPS-Zertifikat, das
selbstverständlich sowohl für das PHP-Skript als auch für das Verzeichnis
gilt, in dem die .zip-Archive gespeichert sind. Die Download-Links verweisen
auf <https://Meine_Seite.tld/download.php>
3. Bei Dateien ohne ausführbare Inhalte (getestet mit JPG, CSV und TXT) kommt
die Warnung nicht.
Wieso also hält Chrome (im Gegensatz zu anderen Browsern wie z. B. Edge oder
Firefox) die Downloads für unsicher?
Google selbst liefert keine befriedigende Erklärung dafür. Auf
<https://blog.chromium.org/2020/02/protecting-users-from-insecure.html> steht
nur, dass vor unsicheren Downloads (von http://...) auf ansonsten sicheren
Sites (https://...) gewarnt wird bzw. diese blockiert werden. Dies trifft aber
auf meine Site nicht zu, da werden auch die Downloads über eine verschlüsselte
Verbindung bereitgestellt.
Was kann ich tun, um diese lästige Warnung loszuwerden?
Gruß
Michael
ich möchte auf meiner Website Dateien zum Download (ZIP-Archive) anbieten. Der
Download wird allerdings nicht direkt bereitgestellt, sondern über ein
PHP-Skript, d. h. die Download-Links auf der Seite verweisen auf das Skript,
nicht auf die Zip-Dateien. Das Skript liest die Dateien mit der PHP-Funktion
readfile() ein und liefert sie dann an den Client aus.
Im Prinzip funktioniert alles wie gewünscht, allerdings gibt Google Chrome
(89.0.4389.90) die im Betreff genannte Warnung aus. Ich wüsste nun gerne, was
der Grund dafür ist, und würde das gerne abstellen. BTW: dass die Dateien über
den Umweg über das PHP-Skript bereitgestellt werden, spielt keine Rolle. Auch
beim direkten Download der ZIP-Archive (den ich testweise mal aktiviert habe)
kommt die Meldung.
Hier die Fakten:
1. Die Archive enthalten definitiv keine schädlichen Inhalte. Es sind zwar
.exe-Dateien enthalten, aber diese wurden von mir selbst programmiert und sind
garantiert harmlos. Allerdings sind die .exes nicht signiert.
2. Die Seite verfügt über ein gültiges HTTPS-Zertifikat, das
selbstverständlich sowohl für das PHP-Skript als auch für das Verzeichnis
gilt, in dem die .zip-Archive gespeichert sind. Die Download-Links verweisen
auf <https://Meine_Seite.tld/download.php>
3. Bei Dateien ohne ausführbare Inhalte (getestet mit JPG, CSV und TXT) kommt
die Warnung nicht.
Wieso also hält Chrome (im Gegensatz zu anderen Browsern wie z. B. Edge oder
Firefox) die Downloads für unsicher?
Google selbst liefert keine befriedigende Erklärung dafür. Auf
<https://blog.chromium.org/2020/02/protecting-users-from-insecure.html> steht
nur, dass vor unsicheren Downloads (von http://...) auf ansonsten sicheren
Sites (https://...) gewarnt wird bzw. diese blockiert werden. Dies trifft aber
auf meine Site nicht zu, da werden auch die Downloads über eine verschlüsselte
Verbindung bereitgestellt.
Was kann ich tun, um diese lästige Warnung loszuwerden?
Gruß
Michael
Michael Landenberger
Mar 23, 2021, 4:06:32 AM3/23/21
to
"Andreas Kohlbach" schrieb am 22.03.2021 um 19:20:32:
> On Mon, 22 Mar 2021 12:32:15 +0100, Michael Landenberger wrote:
>> Was kann ich tun, um diese lästige Warnung loszuwerden?
> Ist die Seite live?
Die Seite ist live, aber sie ist nur angemeldeten Benutzern zugänglich.
> Kannst Du dann den Link hier posten oder mir
> andernfalls mailen? Kann das in Chromium und zwei anderen (eher
> exotischen) Browsern testen, ob es dort auch passiert.
Vielen Dank für das Angebot. Ich habe inzwischen herausgefunden, woran es
höchstwahrscheinlich liegt: nämlich daran, dass in den ZIP-Archiven
unsignierte, ausführbare Dateien enthalten sind. Chrome warnt nämlich auch
beim Versuch, eine der EXEs ungezippt herunterzuladen. Nehme ich die EXEs aus
den ZIPs 'raus, kommt die Warnung nicht. Ganz offenbar hält Chrome unsignierte
EXEs, egal ob gezippt oder ungezippt, für potentiell gefährlich. Für
bemerkenswert halte ich den Umstand, dass Chrome ZIP-Archive beim Download
offenbar entpackt, um den Inhalt untersuchen zu können.
Da es nur wenige Nutzer betrifft, kann ich damit leben. Ich werde dann halt
einen entsprechenden Hinweis auf die Seite setzen. Den Aufwand, meine (wie
geschrieben selbstprogrammierten) EXEs zu signieren, möchte ich nicht treiben.
Eigenartigerweise verhält sich nur Chrome für Desktops so. Chrome für Android
warnt nicht (vielleicht weil Windows-EXEs auf Android keinen Schaden anrichten
können). Aber auch beim ebenfalls auf Chromium basierenden Microsoft Edge
kommt keine Warnung.
Gruß
Michael
> On Mon, 22 Mar 2021 12:32:15 +0100, Michael Landenberger wrote:
>> Was kann ich tun, um diese lästige Warnung loszuwerden?
Die Seite ist live, aber sie ist nur angemeldeten Benutzern zugänglich.
> Kannst Du dann den Link hier posten oder mir
> andernfalls mailen? Kann das in Chromium und zwei anderen (eher
> exotischen) Browsern testen, ob es dort auch passiert.
Vielen Dank für das Angebot. Ich habe inzwischen herausgefunden, woran es
höchstwahrscheinlich liegt: nämlich daran, dass in den ZIP-Archiven
unsignierte, ausführbare Dateien enthalten sind. Chrome warnt nämlich auch
beim Versuch, eine der EXEs ungezippt herunterzuladen. Nehme ich die EXEs aus
den ZIPs 'raus, kommt die Warnung nicht. Ganz offenbar hält Chrome unsignierte
EXEs, egal ob gezippt oder ungezippt, für potentiell gefährlich. Für
bemerkenswert halte ich den Umstand, dass Chrome ZIP-Archive beim Download
offenbar entpackt, um den Inhalt untersuchen zu können.
Da es nur wenige Nutzer betrifft, kann ich damit leben. Ich werde dann halt
einen entsprechenden Hinweis auf die Seite setzen. Den Aufwand, meine (wie
geschrieben selbstprogrammierten) EXEs zu signieren, möchte ich nicht treiben.
Eigenartigerweise verhält sich nur Chrome für Desktops so. Chrome für Android
warnt nicht (vielleicht weil Windows-EXEs auf Android keinen Schaden anrichten
können). Aber auch beim ebenfalls auf Chromium basierenden Microsoft Edge
kommt keine Warnung.
Gruß
Michael
Marc Olschok
Mar 23, 2021, 7:00:23 PM3/23/21
to
On Tue, 23 Mar 2021 09:06:28 Michael Landenberger wrote:
>[...]
--
M.O.
>[...]
> Für bemerkenswert halte ich den Umstand, dass Chrome ZIP-Archive
> beim Download offenbar entpackt, um den Inhalt untersuchen zu können.
Mit Blick auf 42.zip wirkt es auch ein wenig leichtsinnig.
> beim Download offenbar entpackt, um den Inhalt untersuchen zu können.
--
M.O.
0 new messages