Chrome將阻止所有類型非HTTPS的混合內容下載？

文章背景：

今年十月Google發布了Chrome瀏覽器86新版本的正式更新，這意味著Chrome將阻止所有類型非HTTPS的混合內容下載。

為進一步加固瀏覽器的安全防線，全球份額已達71%的瀏覽器霸主Chrome可謂“操碎了心”，早在今年2月份，Google宣布：為了增強用戶下載防護體驗， Chrome瀏覽器將逐步阻止非「安全性超文本傳輸協定」的混合內容下載，確保HTTPS安全頁面僅下載安全檔案。

為什麼阻止HTTPS頁面的HTTP資源下載

HTTPS混合內容錯誤一直是網站推進HTTPS加密的一大阻礙。 HTTPS混合內容錯誤是指，初始網頁透過安全的HTTPS連結加載，但頁面中其他資源（如：圖像、影片、樣式表、腳本）卻透過不安全的HTTP連結加載，這樣就會出現混合內容錯誤（也就是不安全因素）。根據Google報道，Chrome用戶在所有主要平台上超過90%的瀏覽時間都使用HTTPS，但這些安全頁面通常會載入不安全的HTTP子資源。

初期，Chrome屏蔽始於安全頁面的不安全下載。這種情況尤其讓人擔憂，因為Chrome目前無法向用戶表明其隱私和安全受到威脅。不安全的文件下載會威脅到使用者的安全和隱私。例如，攻擊者可以將透過HTTP下載的程式替換為惡意程序，竊聽者可以讀取使用者透過HTTP下載的銀行對帳單等。為了解決這些風險，Google計劃最終在Chrome中禁止載入不安全資源。作為去年宣布的一項計劃的延續，Chrome將阻止「安全頁面」上的所有「非安全子資源」的接觸。

Chrome阻止混合內容的六階段計畫表

從2020年4月的Chrome 82開始，Chrome瀏覽器便採取行動向使用者發出警告、進一步確保安全性，直至最終阻止「混合內容的下載」 （安全頁面上的非HTTPS下載）支援。其中對使用者構成最大風險的文件類型（可執行檔）首先受到影響，後續版本將覆蓋更多的文件類型。

Google 計畫首先在 Windows、macOS、ChromeOS 和 Linux 桌面平台上推出混合內容下載的限制。 Chrome 團隊將此流程分為六個步驟，分別是：

☞ Chrome 81（2020年3 月）：瀏覽器會跳出控制台訊息，警告所有混合內容的下載；

☞ Chrome 82（2020年4 月）：瀏覽器將警告（.exe 等執行檔）的混合內容下載；

☞ Chrome 83（2020年6 月）：警告.zip檔案與.iso 磁碟映像混合內容的下載；

☞ Chrome 84（2020年8 月）：警告圖片、音訊影片、文字以外的混合內容的下載；

☞ Chrome 85（2020 年9 月）：警告影像、音訊視訊和文字類別混合內容的下載；

☞ Chrome 86（2020 年10 月）：阻止所有類型混合內容的下載。

逐步推出的目的，旨在快速緩解嚴重的安全風險，鑑於行動平台具有更好的抵禦惡意檔案的本機防護功能，為開發人員提供更新其網站的緩衝時間，避免因不安全網站影響Chrome用戶的使用體驗。

您的網站內容混合嗎？

您的網站內容混合嗎？相信多數網站管理者不清楚其網站有哪些混合內容，而Chrome 86版本的重大更新幫助用戶了解所有HTTP網站都是不安全的，迫使網站管理員將其網站升級到更安全的HTTPS協議，保護用戶的隱私和資料安全。

 應對策略 

① 檢查您的網站上的混合內容/不安全鏈接，排查網站內的加載文件，確保所有文件都僅通過HTTPS下載，可藉助證書管理工具解決HTTPS的不安全（外鏈）問題，對網站即時監控並獲得專業評估報告，以便檢測自己部署的HTTPS網站是否真正的安全。

② 建議網站進行全站HTTPS加密。保護隱私數據，防止竊聽和外洩。

③ 擔心全站HTTPS會消耗較多的雲端伺服器 CPU資源，增加延遲？可製定全站HTTPS加速的效能優化解決方案。

相關推薦：網站安全教學

以上是Chrome將阻止所有類型非HTTPS的混合內容下載？的詳細內容。更多資訊請關注PHP中文網其他相關文章！