首頁  >  文章  >  運維  >  Chrome將阻止所有類型非HTTPS的混合內容下載?

Chrome將阻止所有類型非HTTPS的混合內容下載?

王林
王林轉載
2020-11-26 16:03:382839瀏覽

Chrome將阻止所有類型非HTTPS的混合內容下載?

文章背景:

今年十月Google發布了Chrome瀏覽器86新版本的正式更新,這意味著Chrome將阻止所有類型非HTTPS的混合內容下載。

為進一步加固瀏覽器的安全防線,全球份額已達71%的瀏覽器霸主Chrome可謂“操碎了心”,早在今年2月份,Google宣布:為了增強用戶下載防護體驗, Chrome瀏覽器將逐步阻止非「安全性超文本傳輸協定」的混合內容下載,確保HTTPS安全頁面僅下載安全檔案。

為什麼阻止HTTPS頁面的HTTP資源下載

HTTPS混合內容錯誤一直是網站推進HTTPS加密的一大阻礙。 HTTPS混合內容錯誤是指,初始網頁透過安全的HTTPS連結加載,但頁面中其他資源(如:圖像、影片、樣式表、腳本)卻透過不安全的HTTP連結加載,這樣就會出現混合內容錯誤(也就是不安全因素)。根據Google報道,Chrome用戶在所有主要平台上超過90%的瀏覽時間都使用HTTPS,但這些安全頁面通常會載入不安全的HTTP子資源。

初期,Chrome屏蔽始於安全頁面的不安全下載。這種情況尤其讓人擔憂,因為Chrome目前無法向用戶表明其隱私和安全受到威脅。不安全的文件下載會威脅到使用者的安全和隱私。例如,攻擊者可以將透過HTTP下載的程式替換為惡意程序,竊聽者可以讀取使用者透過HTTP下載的銀行對帳單等。為了解決這些風險,Google計劃最終在Chrome中禁止載入不安全資源。作為去年宣布的一項計劃的延續,Chrome將阻止「安全頁面」上的所有「非安全子資源」的接觸。

Chrome將阻止所有類型非HTTPS的混合內容下載?

Chrome阻止混合內容的六階段計畫表

從2020年4月的Chrome 82開始,Chrome瀏覽器便採取行動向使用者發出警告、進一步確保安全性,直至最終阻止「混合內容的下載」 (安全頁面上的非HTTPS下載)支援。其中對使用者構成最大風險的文件類型(可執行檔)首先受到影響,後續版本將覆蓋更多的文件類型。

Google 計畫首先在 Windows、macOS、ChromeOS 和 Linux 桌面平台上推出混合內容下載的限制。 Chrome 團隊將此流程分為六個步驟,分別是:

☞ Chrome 81(2020年3 月):瀏覽器會跳出控制台訊息,警告所有混合內容的下載;

☞ Chrome 82(2020年4 月):瀏覽器將警告(.exe 等執行檔)的混合內容下載;

☞ Chrome 83(2020年6 月):警告.zip檔案與.iso 磁碟映像混合內容的下載;

☞ Chrome 84(2020年8 月):警告圖片、音訊影片、文字以外的混合內容的下載;

☞ Chrome 85(2020 年9 月):警告影像、音訊視訊和文字類別混合內容的下載;

☞ Chrome 86(2020 年10 月):阻止所有類型混合內容的下載。

Chrome將阻止所有類型非HTTPS的混合內容下載?

逐步推出的目的,旨在快速緩解嚴重的安全風險,鑑於行動平台具有更好的抵禦惡意檔案的本機防護功能,為開發人員提供更新其網站的緩衝時間,避免因不安全網站影響Chrome用戶的使用體驗。

您的網站內容混合嗎?

您的網站內容混合嗎?相信多數網站管理者不清楚其網站有哪些混合內容,而Chrome 86版本的重大更新幫助用戶了解所有HTTP網站都是不安全的,迫使網站管理員將其網站升級到更安全的HTTPS協議,保護用戶的隱私和資料安全。

 應對策略 

① 檢查您的網站上的混合內容/不安全鏈接,排查網站內的加載文件,確保所有文件都僅通過HTTPS下載,可藉助證書管理工具解決HTTPS的不安全(外鏈)問題,對網站即時監控並獲得專業評估報告,以便檢測自己部署的HTTPS網站是否真正的安全。

Chrome將阻止所有類型非HTTPS的混合內容下載?

② 建議網站進行全站HTTPS加密。保護隱私數據,防止竊聽和外洩。

③ 擔心全站HTTPS會消耗較多的雲端伺服器 CPU資源,增加延遲?可製定全站HTTPS加速的效能優化解決方案。

相關推薦:網站安全教學

以上是Chrome將阻止所有類型非HTTPS的混合內容下載?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:secpulse.com。如有侵權,請聯絡admin@php.cn刪除