今年十月,Google即将釋出Chrome浏覽器86新版本的正式更新,這意味着Chrome将阻止所有類型非HTTPS的混合内容下載下傳。
為進一步加強浏覽器的安全防線,全球份額已達71%的浏覽器霸主Chrome可謂“操碎了心”,早在今年2月份,Google宣布:為了增強使用者下載下傳防護體驗,Chrome浏覽器将逐漸阻止非“安全超文本傳輸協定”的混合内容下載下傳,確定HTTPS安全頁面僅下載下傳安全檔案。
為什麼阻止HTTPS頁面的HTTP資源下載下傳
HTTPS混合内容錯誤一直是網站推進HTTPS加密的一大阻礙。HTTPS混合内容錯誤是指,初始網頁通過安全的HTTPS連結加載,但頁面中其他資源(如:圖像、視訊、樣式表、腳本)卻通過不安全的HTTP連結加載,這樣就會出現混合内容錯誤(也就是不安全因素)。據谷歌報道,Chrome使用者在所有主要平台上超過90%的浏覽時間都使用HTTPS,但是這些安全頁面通常會加載不安全的HTTP子資源。
初期,Chrome屏蔽始于安全頁面的不安全下載下傳。這種情況尤其讓人擔憂,因為Chrome目前無法向使用者表明其隐私和安全受到威脅。不安全的檔案下載下傳會威脅到使用者的安全和隐私。例如,攻擊者可以将通過HTTP下載下傳的程式替換為惡意程式,竊聽者可以讀取使用者通過HTTP下載下傳的銀行對賬單等。為了解決這些風險,谷歌計劃最終在Chrome中禁止加載不安全資源。作為去年宣布的一項計劃的延續,Chrome将阻止“安全頁面”上的所有“非安全子資源”的接觸。
Chrome阻止混合内容的六階段計劃表
從2020年4月的Chrome 82開始,Chrome浏覽器便采取行動向使用者發出警告、進一步確定安全性,直至最終阻止“混合内容的下載下傳” (安全頁面上的非HTTPS下載下傳)支援。其中對使用者構成最大風險的檔案類型(可執行檔案)首先受到影響,後續版本将覆寫更多的檔案類型。
谷歌計劃首先在 Windows、macOS、ChromeOS 和 Linux 桌面平台上推出對混合内容下載下傳的限制。Chrome 團隊将這一過程分為六個步驟,分别是:
☞ Chrome 81(2020年 3 月):浏覽器會蹦出一條控制台消息,警告所有混合内容的下載下傳;
☞ Chrome 82(2020年 4 月):浏覽器将警告(.exe 等可執行檔案)的混合内容下載下傳;
☞ Chrome 83(2020年 6 月):警告 .zip 檔案和 .iso 磁盤映像混合内容的下載下傳;
☞ Chrome 84(2020年 8 月):警告除圖檔、音視訊、文本之外的混合内容的下載下傳;
☞ Chrome 85(2020 年9 月):警告圖像、音視訊和文本類混合内容的下載下傳;
☞ Chrome 86(2020 年10 月):阻止所有類型混合内容的下載下傳。
逐漸推出的目的,旨在快速緩解嚴重的安全風險,鑒于移動平台具有更好的抵禦惡意檔案的本機防護功能,為開發人員提供更新其網站的緩沖時間,避免因不安全網站影響Chrome使用者的使用體驗。
您的網站内容混合嗎?
您的網站内容混合嗎?相信多數網站管理者不清楚其網站有哪些混合内容,而Chrome 86版本的重大更新幫助使用者了解所有HTTP網站都是不安全的,迫使網站管理者将其站點更新到更安全的HTTPS協定,保護使用者的隐私和資料安全。
應對政策
① 檢查您的網站上的混合内容/不安全連結,排查網站内的加載檔案,確定所有檔案都僅通過HTTPS下載下傳,可借助證書檢測工具解決HTTPS的不安全(外鍊)問題,對網站實時監控并擷取專業評估報告,以便檢測自己部署的HTTPS網站是否真正的安全。
② 建議網站進行全站HTTPS加密,保護隐私資料,防止竊聽和洩露。
③ 擔心全站HTTPS會消耗較多的雲端伺服器 CPU資源,增加延時?建議制定全站HTTPS加速的性能優化解決方案。