10月,HTTP即将面临Chrome的又一波“大封杀”

简介: 今年十月,Google即将发布Chrome浏览器86新版本的正式更新,这意味着Chrome将阻止所有类型非HTTPS的混合内容下载。早在今年2月份,Google宣布:为了增强用户下载防护体验,Chrome浏览器将逐步阻止非“安全超文本传输协议”的混合内容下载,确保HTTPS安全页面仅下载安全文件。

今年十月,Google即将发布Chrome浏览器86新版本的正式更新,这意味着Chrome将阻止所有类型非HTTPS的混合内容下载。

为进一步加固浏览器的安全防线,全球份额已达71%的浏览器霸主Chrome可谓“操碎了心”,早在今年2月份,Google宣布:为了增强用户下载防护体验,Chrome浏览器将逐步阻止非“安全超文本传输协议”的混合内容下载,确保HTTPS安全页面仅下载安全文件。

新版微信大图尺寸.jpg

为什么阻止HTTPS页面的HTTP资源下载

HTTPS混合内容错误一直是网站推进HTTPS加密的一大阻碍。HTTPS混合内容错误是指,初始网页通过安全的HTTPS链接加载,但页面中其他资源(如:图像、视频、样式表、脚本)却通过不安全的HTTP链接加载,这样就会出现混合内容错误(也就是不安全因素)。据谷歌报道,Chrome用户在所有主要平台上超过90%的浏览时间都使用HTTPS,但是这些安全页面通常会加载不安全的HTTP子资源。

初期,Chrome屏蔽始于安全页面的不安全下载。这种情况尤其让人担忧,因为Chrome当前无法向用户表明其隐私和安全受到威胁。不安全的文件下载会威胁到用户的安全和隐私。例如,攻击者可以将通过HTTP下载的程序替换为恶意程序,窃听者可以读取用户通过HTTP下载的银行对账单等。为了解决这些风险,谷歌计划最终在Chrome中禁止加载不安全资源。作为去年宣布的一项计划的延续,Chrome将阻止“安全页面”上的所有“非安全子资源”的接触。

chrome-insecure-download-warning.png

Chrome阻止混合内容的六阶段计划表

从2020年4月的Chrome 82开始,Chrome浏览器便采取行动向用户发出警告、进一步确保安全性,直至最终阻止“混合内容的下载” (安全页面上的非HTTPS下载)支持。其中对用户构成最大风险的文件类型(可执行文件)首先受到影响,后续版本将覆盖更多的文件类型。

谷歌计划首先在 Windows、macOS、ChromeOS 和 Linux 桌面平台上推出对混合内容下载的限制。Chrome 团队将这一过程分为六个步骤,分别是:

☞ Chrome 81(2020年 3 月):浏览器会蹦出一条控制台消息,警告所有混合内容的下载;

☞ Chrome 82(2020年 4 月):浏览器将警告(.exe 等可执行文件)的混合内容下载;

☞ Chrome 83(2020年 6 月):警告 .zip 档案和 .iso 磁盘映像混合内容的下载;

☞ Chrome 84(2020年 8 月):警告除图片、音视频、文本之外的混合内容的下载;

☞ Chrome 85(2020 年9 月):警告图像、音视频和文本类混合内容的下载;

☞ Chrome 86(2020 年10 月):阻止所有类型混合内容的下载。

0824ab18972bd407186ac0c91939b2570eb3098e.jpeg

逐步推出的目的,旨在快速缓解严重的安全风险,鉴于移动平台具有更好的抵御恶意文件的本机防护功能,为开发人员提供更新其网站的缓冲时间,避免因不安全网站影响Chrome用户的使用体验。

您的网站内容混合吗?

您的网站内容混合吗?相信多数网站管理者不清楚其网站有哪些混合内容,而Chrome 86版本的重大更新帮助用户了解所有HTTP网站都是不安全的,迫使网站管理员将其站点升级到更安全的HTTPS协议,保护用户的隐私和数据安全。

应对策略

① 检查您的网站上的混合内容/不安全链接,排查网站内的加载文件,确保所有文件都仅通过HTTPS下载,可借助证书检测工具解决HTTPS的不安全(外链)问题,对网站实时监控并获取专业评估报告,以便检测自己部署的HTTPS网站是否真正的安全。

不安全外链.png

② 建议网站进行全站HTTPS加密,保护隐私数据,防止窃听和泄露。

③ 担心全站HTTPS会消耗较多的云端服务器 CPU资源,增加延时?建议制定全站HTTPS加速的性能优化解决方案。

相关文章
|
Web App开发 JavaScript 前端开发
JavaScript 技术篇-navigator.permissions读取chrome剪切板权限获取不生效原因:只有在https协议下使用有效。手动设置chrome页面剪切板读取权限方法
JavaScript 技术篇-navigator.permissions读取chrome剪切板权限获取不生效原因:只有在https协议下使用有效。手动设置chrome页面剪切板读取权限方法
1536 0
JavaScript 技术篇-navigator.permissions读取chrome剪切板权限获取不生效原因:只有在https协议下使用有效。手动设置chrome页面剪切板读取权限方法
|
Web App开发 缓存 网络协议
Chrome 抓包:快速定位 HTTP 协议问题
Chrome 抓包:快速定位 HTTP 协议问题
216 0
|
Web App开发 缓存 JSON
chrome浏览器自带的开发者工具查看http头以及详解http头
1.浏览器常见HTTP请求头解释 使用chrome浏览器自带的开发者工具查看http头的方法 1.在网页任意地方右击选择审查元素或者按下 shift+ctrl+c, 打开chrome自带的调试工具; 2.选择network标签, 刷新网页(在打开调试工具的情况下刷新); 3.刷新后在左边找到该网页url,点击 后右边选择headers,就可以看到当前网页的http头了;
4288 0
|
Web App开发 前端开发 测试技术
新手教程 | Python自动化测试Selenium+chrome连接HTTP代理(账密+白名单)
虽然 Selenium 主要用于网站的前端测试,但其核心是浏览器用户代理库。本次来说说,Python使用Selenium调用Chrome浏览器并通过HTTP代理进行自动化测试
|
Web App开发 安全 数据安全/隐私保护
|
Web App开发 缓存
Chrome 谷歌浏览器清除HTTPS证书缓存
Chrome 谷歌浏览器清除HTTPS证书缓存
1609 0
Chrome 谷歌浏览器清除HTTPS证书缓存
|
Web App开发 缓存
Chrome 谷歌浏览器清除HTTPS证书缓存
Chrome 谷歌浏览器清除HTTPS证书缓存
1439 0
Chrome 谷歌浏览器清除HTTPS证书缓存
|
Web App开发 编解码 移动开发
Chrome 90 将默认使用 HTTPS,Web 更安全了
4月13日正式发布的Chrome 90,带来了哪些有意思的新特性呢?
Chrome 90 将默认使用 HTTPS,Web 更安全了
|
Web App开发 安全 API