10月,HTTP即將面臨Chrome的又一波“大封殺”

今年十月，Google即將發(fā)布Chrome瀏覽器86新版本的正式更新，這意味著Chrome將阻止所有類型非HTTPS的混合內容下載。

為進一步加固瀏覽器的安全防線，全球份額已達71%的瀏覽器霸主Chrome可謂“操碎了心”，早在今年2月份，Google宣布：為了增強用戶下載防護體驗，Chrome瀏覽器將逐步阻止非“安全超文本傳輸協(xié)議”的混合內容下載，確保HTTPS安全頁面僅下載安全文件。

為什么阻止HTTPS頁面的HTTP資源下載

HTTPS混合內容錯誤一直是網(wǎng)站推進HTTPS加密的一大阻礙。HTTPS混合內容錯誤是指，初始網(wǎng)頁通過安全的HTTPS鏈接加載，但頁面中其他資源（如：圖像、視頻、樣式表、腳本）卻通過不安全的HTTP鏈接加載，這樣就會出現(xiàn)混合內容錯誤（也就是不安全因素）。據(jù)谷歌報道，Chrome用戶在所有主要平臺上超過90%的瀏覽時間都使用HTTPS，但是這些安全頁面通常會加載不安全的HTTP子資源。

初期，Chrome屏蔽始于安全頁面的不安全下載。這種情況尤其讓人擔憂，因為Chrome當前無法向用戶表明其隱私和安全受到威脅。不安全的文件下載會威脅到用戶的安全和隱私。例如，攻擊者可以將通過HTTP下載的程序替換為惡意程序，竊聽者可以讀取用戶通過HTTP下載的銀行對賬單等。為了解決這些風險，谷歌計劃最終在Chrome中禁止加載不安全資源。作為去年宣布的一項計劃的延續(xù)，Chrome將阻止“安全頁面”上的所有“非安全子資源”的接觸。

Chrome阻止混合內容的六階段計劃表

從2020年4月的Chrome 82開始，Chrome瀏覽器便采取行動向用戶發(fā)出警告、進一步確保安全性，直至最終阻止“混合內容的下載” （安全頁面上的非HTTPS下載）支持。其中對用戶構成最大風險的文件類型（可執(zhí)行文件）首先受到影響，后續(xù)版本將覆蓋更多的文件類型。

谷歌計劃首先在 Windows、macOS、ChromeOS 和 Linux 桌面平臺上推出對混合內容下載的限制。Chrome 團隊將這一過程分為六個步驟，分別是：

??Chrome 81（2020年 3 月）：瀏覽器會蹦出一條控制臺消息，警告所有混合內容的下載；

??Chrome 82（2020年 4 月）：瀏覽器將警告（.exe 等可執(zhí)行文件）的混合內容下載；

??Chrome 83（2020年 6 月）：警告 .zip 檔案和 .iso 磁盤映像混合內容的下載；

??Chrome 84（2020年 8 月）：警告除圖片、音視頻、文本之外的混合內容的下載；

??Chrome 85（2020 年9 月）：警告圖像、音視頻和文本類混合內容的下載；

??Chrome 86（2020 年10 月）：阻止所有類型混合內容的下載。

逐步推出的目的，旨在快速緩解嚴重的安全風險，鑒于移動平臺具有更好的抵御惡意文件的本機防護功能，為開發(fā)人員提供更新其網(wǎng)站的緩沖時間，避免因不安全網(wǎng)站影響Chrome用戶的使用體驗。

您的網(wǎng)站內容混合嗎？

您的網(wǎng)站內容混合嗎？相信多數(shù)網(wǎng)站管理者不清楚其網(wǎng)站有哪些混合內容，而Chrome 86版本的重大更新幫助用戶了解所有HTTP網(wǎng)站都是不安全的，迫使網(wǎng)站管理員將其站點升級到更安全的HTTPS協(xié)議，保護用戶的隱私和數(shù)據(jù)安全。

應對策略

① 檢查您的網(wǎng)站上的混合內容/不安全鏈接，排查網(wǎng)站內的加載文件，確保所有文件都僅通過HTTPS下載，可借助證書檢測工具解決HTTPS的不安全（外鏈）問題，對網(wǎng)站實時監(jiān)控并提供專業(yè)評估報告，以便檢測自己部署的HTTPS網(wǎng)站是否真正的安全。

② 建議網(wǎng)站進行全站HTTPS加密，保護隱私數(shù)據(jù)，防止竊聽和泄露。

③?擔心全站HTTPS會消耗較多的云端服務器 CPU資源，增加延時？建議制定全站HTTPS加速的性能優(yōu)化解決方案。

SSL證書管理 Sass https DevOps

版權聲明：本文內容由網(wǎng)絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內刪除侵權內容。