Heim >Betrieb und Instandhaltung >Sicherheit >Blockiert Chrome alle Arten von Nicht-HTTPS-Downloads gemischter Inhalte?

Blockiert Chrome alle Arten von Nicht-HTTPS-Downloads gemischter Inhalte?

王林
王林nach vorne
2020-11-26 16:03:382889Durchsuche

Blockiert Chrome alle Arten von Nicht-HTTPS-Downloads gemischter Inhalte?

Artikelhintergrund:

Im Oktober dieses Jahres veröffentlichte Google ein offizielles Update für die neue Chrome-Browserversion 86, was bedeutet, dass Chrome alle Arten von Nicht-HTTPS-Downloads gemischter Inhalte blockiert.

Um die Sicherheitsabwehr des Browsers weiter zu stärken, kann Chrome, der Browser mit einem weltweiten Anteil von 71 %, als „kaputt“ bezeichnet werden. Bereits im Februar dieses Jahres kündigte Google an: „Um den Download der Nutzer zu verbessern.“ Schutzerfahrung blockiert der Chrome-Browser nach und nach Downloads gemischter Inhalte, die nicht Hypertext Transfer Protocol Secure sind, und stellt sicher, dass HTTPS-sichere Seiten nur sichere Dateien herunterladen.

Warum HTTP-Ressourcen-Downloads für HTTPS-Seiten blockiert werden

HTTPS-Mixed-Content-Fehler waren schon immer ein großes Hindernis für Websites, die HTTPS-Verschlüsselung zu fördern. Ein HTTPS-Mixed-Content-Fehler tritt auf, wenn die ursprüngliche Webseite über einen sicheren HTTPS-Link geladen wird, andere Ressourcen auf der Seite (z. B. Bilder, Videos, Stylesheets, Skripte) jedoch über einen unsicheren HTTP-Link geladen werden (d. h. unsichere Faktoren). . Google berichtet, dass Chrome-Nutzer auf allen wichtigen Plattformen für mehr als 90 % ihrer Surfzeit HTTPS verwenden, diese sicheren Seiten jedoch häufig unsichere HTTP-Subressourcen laden.

In den Anfängen begann die Chrome-Blockierung mit unsicheren Downloads sicherer Seiten. Diese Situation ist besonders besorgniserregend, da Chrome derzeit keine Möglichkeit hat, Benutzern anzuzeigen, dass ihre Privatsphäre und Sicherheit gefährdet sind. Unsichere Dateidownloads gefährden die Sicherheit und Privatsphäre der Benutzer. Beispielsweise kann ein Angreifer ein über HTTP heruntergeladenes Programm durch ein Schadprogramm ersetzen und ein Lauscher kann den über HTTP heruntergeladenen Kontoauszug eines Benutzers usw. lesen. Um diesen Risiken zu begegnen, plant Google, das Laden unsicherer Ressourcen in Chrome irgendwann zu deaktivieren. Als Fortsetzung eines im letzten Jahr angekündigten Plans wird Chrome den Zugriff auf alle „nicht sicheren Unterressourcen“ auf „sicheren Seiten“ blockieren.

Blockiert Chrome alle Arten von Nicht-HTTPS-Downloads gemischter Inhalte?

Chromes sechsstufiger Plan zum Blockieren gemischter Inhalte

Ab Chrome 82 im April 2020 wird der Chrome-Browser Maßnahmen ergreifen, um Benutzer zu warnen, die Sicherheit weiter zu gewährleisten und schließlich den Download von „gemischten Inhalten“ zu blockieren. Nicht-HTTPS-Downloads auf sicheren Seiten) werden unterstützt. Zuerst sind die Dateitypen betroffen, die das größte Risiko für Benutzer darstellen (ausführbare Dateien), und nachfolgende Versionen werden weitere Dateitypen abdecken.

Google plant, Beschränkungen für das Herunterladen gemischter Inhalte zunächst auf Windows-, macOS-, ChromeOS- und Linux-Desktopplattformen einzuführen. Das Chrome-Team unterteilt diesen Prozess in sechs Schritte:

☞ Chrome 81 (März 2020): Der Browser zeigt eine Konsolenmeldung mit einer Warnung vor allen Downloads gemischter Inhalte an.

☞ Chrome 82 (April 2020): Der Browser warnt vor Downloads gemischter Inhalte (ausführbare Dateien wie .exe);

☞ Chrome 83 (Juni 2020): Warnung vor Downloads gemischter Inhalte von .zip-Archiven und .iso-Disk-Images;

☞ Chrome 84 (August 2020): Warnung vor dem Herunterladen gemischter Inhalte außer Bildern, Audio, Video und Text;

☞ Chrome 85 (September 2020): Warnung vor dem Herunterladen gemischter Inhalte wie Bilder, Audio, Video und Text Chrome 86 (Oktober 2020): Blockiert Downloads aller Arten von gemischten Inhalten.

Blockiert Chrome alle Arten von Nicht-HTTPS-Downloads gemischter Inhalte?Der Zweck der schrittweisen Einführung besteht darin, ernsthafte Sicherheitsrisiken schnell zu mindern, da mobile Plattformen über einen besseren nativen Schutz vor bösartigen Dateien verfügen, Entwicklern mehr Zeit für die Aktualisierung ihrer Websites geben und vermeiden, dass sie aufgrund von Websites, die Chrome-Benutzer betreffen, unsicher werden ' Erfahrung.

Ist der Inhalt Ihrer Website gemischt?

Ist der Inhalt Ihrer Website gemischt? Ich glaube, dass die meisten Website-Administratoren nicht wissen, welche gemischten Inhalte ihre Websites enthalten, und das große Update der Chrome-Version 86 hilft Benutzern zu verstehen, dass alle HTTP-Websites unsicher sind, was Website-Administratoren dazu zwingt, ihre Websites zum Schutz der Benutzer auf das sicherere HTTPS-Protokoll zu aktualisieren . Datenschutz und Datensicherheit.

Gegenmaßnahmen

① Überprüfen Sie Ihre Website auf gemischte Inhalte/unsichere Links, überprüfen Sie die geladenen Dateien auf der Website und stellen Sie sicher, dass alle Dateien nur über HTTPS heruntergeladen werden. Sie können Zertifikatsverwaltungstools verwenden, um die Unsicherheit von HTTPS (extern) zu beheben Links) Wenn Sie Fragen haben, überwachen Sie die Website in Echtzeit und erhalten Sie einen professionellen Bewertungsbericht, um zu überprüfen, ob die von Ihnen bereitgestellte HTTPS-Website wirklich sicher ist.

Blockiert Chrome alle Arten von Nicht-HTTPS-Downloads gemischter Inhalte?② Es wird empfohlen, dass die Website eine vollständige HTTPS-Verschlüsselung implementiert. Schützen Sie private Daten vor Abhören und Datenlecks.

③ Befürchten Sie, dass HTTPS für die gesamte Website mehr CPU-Ressourcen des Cloud-Servers verbraucht und die Latenz erhöht? Kann Lösungen zur Leistungsoptimierung für die vollständige HTTPS-Beschleunigung entwickeln.

Verwandte Empfehlungen:

Tutorial zur Website-Sicherheit

Das obige ist der detaillierte Inhalt vonBlockiert Chrome alle Arten von Nicht-HTTPS-Downloads gemischter Inhalte?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Dieser Artikel ist reproduziert unter:secpulse.com. Bei Verstößen wenden Sie sich bitte an admin@php.cn löschen