Chrome bloquera-t-il tous les types de téléchargements de contenu mixte non HTTPS ?

Fond de l'article :

En octobre de cette année, Google a publié une mise à jour officielle du nouveau navigateur Chrome version 86, ce qui signifie que Chrome bloquera tous les types de non- Téléchargement de contenu mixte HTTPS.

Afin de renforcer encore la défense de sécurité du navigateur, Chrome, le navigateur dominant avec une part mondiale de 71 %, peut être considéré comme « cassé » Dès février de cette année, Google a annoncé : Dans l'ordre. Afin d'améliorer l'expérience de protection des téléchargements des utilisateurs, Chrome bloquera progressivement le téléchargement de contenus mixtes qui ne sont pas sécurisés par le protocole de transfert hypertexte, garantissant ainsi que les pages sécurisées HTTPS téléchargent uniquement des fichiers sécurisés.

Pourquoi les téléchargements de ressources HTTP pour les pages HTTPS sont bloqués

Les erreurs de contenu mixte HTTPS ont toujours été un obstacle majeur pour les sites Web souhaitant promouvoir le cryptage HTTPS. Une erreur de contenu mixte HTTPS se produit lorsque la page Web initiale est chargée via un lien HTTPS sécurisé, mais que d'autres ressources de la page (telles que des images, des vidéos, des feuilles de style, des scripts) sont chargées via un lien HTTP non sécurisé, c'est-à-dire des facteurs dangereux. . Google rapporte que les utilisateurs de Chrome utilisent HTTPS pendant plus de 90 % de leur temps de navigation sur toutes les principales plates-formes, mais ces pages sécurisées chargent souvent des sous-ressources HTTP non sécurisées.

Au début, le blocage de Chrome commençait par des téléchargements dangereux de pages sécurisées. Cette situation est particulièrement préoccupante car Chrome n'a actuellement aucun moyen d'indiquer aux utilisateurs que leur confidentialité et leur sécurité sont compromises. Les téléchargements de fichiers non sécurisés menacent la sécurité et la confidentialité des utilisateurs. Par exemple, un attaquant peut remplacer un programme téléchargé via HTTP par un programme malveillant, et une écoute indiscrète peut lire le relevé bancaire d'un utilisateur téléchargé via HTTP, etc. Pour faire face à ces risques, Google prévoit de désactiver à terme le chargement de ressources non sécurisées dans Chrome. Dans la continuité d'un plan annoncé l'année dernière, Chrome bloquera l'accès à toutes les « sous-ressources non sécurisées » sur les « pages sécurisées ».

Le plan en six phases de Chrome pour bloquer le contenu mixte

À partir de Chrome 82 en avril 2020, le navigateur Chrome a pris des mesures pour avertir les utilisateurs, garantissant ainsi davantage la sécurité , jusqu'à finalement bloquer le support des "téléchargements de contenus mixtes" (téléchargements non HTTPS sur des pages sécurisées). Les types de fichiers qui présentent le plus grand risque pour les utilisateurs (fichiers exécutables) sont concernés en premier, et les versions ultérieures couvriront davantage de types de fichiers.

Google prévoit d'imposer des restrictions sur les téléchargements de contenus mixtes d'abord sur les plates-formes de bureau Windows, macOS, ChromeOS et Linux. L'équipe Chrome divise ce processus en six étapes, qui sont :

☞ Chrome 81 (mars 2020) : le navigateur affichera un message d'avertissement sur la console de tous les téléchargements de contenu mixte

☞ Chrome ; 82 (avril 2020) : Le navigateur avertira des téléchargements de contenu mixte (fichiers exécutables tels que .exe)

☞ Chrome 83 (juin 2020) : Avertissement.zip Téléchargement de contenu mixte d'archives et de disque .iso ; images ;

☞ Chrome 84 (août 2020) : Avertissement concernant le téléchargement de contenus mixtes autres que des images, de l'audio, de la vidéo et du texte

☞ Chrome 85 (septembre 2020) : Avertir du téléchargement de contenus mixtes tels que des images, de l'audio et de la vidéo, et du texte

☞ Chrome 86 (octobre 2020) : Bloquer le téléchargement de tous types de contenus mixtes.

Un déploiement progressif visant à atténuer rapidement les risques de sécurité graves et à fournir des mises à jour aux développeurs étant donné que les plateformes mobiles disposent d'une meilleure protection native contre les fichiers malveillants. Le temps de mise en mémoire tampon de son site Web empêche les sites Web dangereux d'affecter l'expérience utilisateur de Chrome.

Le contenu de votre site Web est-il mixte ?

Le contenu de votre site Web est-il mixte ? Je pense que la plupart des administrateurs de sites Web ne savent pas quel est le contenu mixte de leurs sites Web, et la mise à jour majeure de la version Chrome 86 aide les utilisateurs à comprendre que tous les sites Web HTTP ne sont pas sûrs, obligeant les administrateurs de sites Web à mettre à niveau leurs sites vers le protocole HTTPS plus sécurisé pour protéger les utilisateurs. confidentialité et sécurité des données.

Contre-mesures

① Vérifiez le contenu mixte/liens non sécurisés sur votre site Web, vérifiez les fichiers chargés sur le site Web et assurez-vous que tous les fichiers sont téléchargés uniquement via HTTPS. Cela peut être résolu avec le. aide d'outils de gestion de certificats Concernant le problème de non-sécurité (lien externe) du HTTPS, surveillez le site Web en temps réel et obtenez un rapport d'évaluation professionnelle pour détecter si le site Web HTTPS que vous déployez est réellement sécurisé.

② Il est recommandé que le site Web mette en œuvre le cryptage HTTPS complet du site. Protégez les données privées contre les écoutes clandestines et les fuites.

③ Vous craignez que le HTTPS complet du site consomme plus de ressources CPU du serveur cloud et augmente la latence ? Peut développer des solutions d’optimisation des performances pour l’accélération HTTPS sur l’ensemble du site.

Recommandations associées : Tutoriel sur la sécurité des sites Web

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!