今年十月份Google发布了Chrome浏览器86新版本的正式更新,这意味着Chrome将阻止所有类型非HTTPS的混合内容下载。
为进一步加固浏览器的安全防线,全球份额已达71%的浏览器霸主Chrome可谓“操碎了心”,早在今年2月份,Google宣布:为了增强用户下载防护体验,Chrome浏览器将逐步阻止非“安全超文本传输协议”的混合内容下载,确保HTTPS安全页面仅下载安全文件。
为什么阻止HTTPS页面的HTTP资源下载
HTTPS混合内容错误一直是网站推进HTTPS加密的一大阻碍。HTTPS混合内容错误是指,初始网页通过安全的HTTPS链接加载,但页面中其他资源(如:图像、视频、样式表、脚本)却通过不安全的HTTP链接加载,这样就会出现混合内容错误(也就是不安全因素)。据谷歌报道,Chrome用户在所有主要平台上超过90%的浏览时间都使用HTTPS,但是这些安全页面通常会加载不安全的HTTP子资源。
初期,Chrome屏蔽始于安全页面的不安全下载。这种情况尤其让人担忧,因为Chrome当前无法向用户表明其隐私和安全受到威胁。不安全的文件下载会威胁到用户的安全和隐私。例如,攻击者可以将通过HTTP下载的程序替换为恶意程序,窃听者可以读取用户通过HTTP下载的银行对账单等。为了解决这些风险,谷歌计划最终在Chrome中禁止加载不安全资源。作为去年宣布的一项计划的延续,Chrome将阻止“安全页面”上的所有“非安全子资源”的接触。
Chrome阻止混合内容的六阶段计划表
从2020年4月的Chrome 82开始,Chrome浏览器便采取行动向用户发出警告、进一步确保安全性,直至最终阻止“混合内容的下载” (安全页面上的非HTTPS下载)支持。其中对用户构成最大风险的文件类型(可执行文件)首先受到影响,后续版本将覆盖更多的文件类型。
谷歌计划首先在 Windows、macOS、ChromeOS 和 Linux 桌面平台上推出对混合内容下载的限制。Chrome 团队将这一过程分为六个步骤,分别是:
☞ Chrome 81(2020年 3 月):浏览器会蹦出一条控制台消息,警告所有混合内容的下载;
☞ Chrome 82(2020年 4 月):浏览器将警告(.exe 等可执行文件)的混合内容下载;
☞ Chrome 83(2020年 6 月):警告 .zip 档案和 .iso 磁盘映像混合内容的下载;
☞ Chrome 84(2020年 8 月):警告除图片、音视频、文本之外的混合内容的下载;
☞ Chrome 85(2020 年9 月):警告图像、音视频和文本类混合内容的下载;
☞ Chrome 86(2020 年10 月):阻止所有类型混合内容的下载。
逐步推出的目的,旨在快速缓解严重的安全风险,鉴于移动平台具有更好的抵御恶意文件的本机防护功能,为开发人员提供更新其网站的缓冲时间,避免因不安全网站影响Chrome用户的使用体验。
您的网站内容混合吗?
您的网站内容混合吗?相信多数网站管理者不清楚其网站有哪些混合内容,而Chrome 86版本的重大更新帮助用户了解所有HTTP网站都是不安全的,迫使网站管理员将其站点升级到更安全的HTTPS协议,保护用户的隐私和数据安全。
应对策略
① 检查您的网站上的混合内容/不安全链接,排查网站内的加载文件,确保所有文件都仅通过HTTPS下载,可借助证书管理工具解决HTTPS的不安全(外链)问题,对网站实时监控并获得专业评估报告,以便检测自己部署的HTTPS网站是否真正的安全。
② 建议网站进行全站HTTPS加密。保护隐私数据,防止窃听和泄露。
③ 担心全站HTTPS会消耗较多的云端服务器 CPU资源,增加延时?可制定全站HTTPS加速的性能优化解决方案。