Google Chrome将阻止混合内容下载
Lasted 2020-02-08 13:58:58
2020年2月6日,谷歌在 Chromium 博客中宣布,Chrome 将逐步确保安全(HTTPS)页面仅能下载安全的文件。将开始阻止“混合内容下载”(在安全(HTTPS)页面上下载非HTTPS内容)。该计划是去年宣布的阻止安全页面上所有不安全资源计划的一部分。
不安全的文件下载会威胁用户的安全和隐私。例如,攻击者可以将下载不安全(非HTTPS传输)的程序替换为恶意软件,窃听者可以读取用户下载不安全的银行对帐单。
从 Chrome 82(将于2020年4月发布)开始,Chrome 将逐渐开始警告并随后阻止这些混合内容下载。对用户构成最大风险的文件类型(例如,可执行文件)将首先受到影响,随后的版本将覆盖更多文件类型。这种逐步推出的目的是快速缓解最严重的风险,为开发人员提供机会更新网站,并最大程度地减少 Chrome 用户看到的警告数量。
首先在桌面平台(Windows,macOS,Chrome OS和Linux)上推出对混合内容下载的限制。针对台式机平台的计划如下:
- 在Chrome 81 (于2020年3月发布)和更高版本中:
- Chrome浏览器会打印一条控制台消息,警告所有混合内容下载。
- 在Chrome 82(于2020年4月发布)中:
- Chrome浏览器会警告可执行文件(例如.exe)的混合内容下载。
- 在Chrome 83(于2020年6月发布)中:
- Chrome浏览器将阻止混合内容的可执行文件。
Chrome会警告混合内容档案(.zip)和磁盘映像(.iso)。 - 在Chrome 84(于2020年8月发布)中:
- Chrome浏览器将阻止混合内容的可执行文件,归档文件和磁盘映像。
Chrome浏览器会警告所有其他混合内容下载,但图片,音频,视频和文本格式除外。 - 在Chrome 85(于2020年9月发布)中:
- Chrome浏览器会警告您下载图像,音频,视频和文本的混合内容。
Chrome浏览器将阻止所有其他混合内容下载。 - 在Chrome 82(于2020年4月发布)中:
- Chrome浏览器会警告可执行文件(例如.exe)的混合内容下载。
- 在Chrome 86(2020年10月发布)及更高版本中:
- Chrome将阻止所有混合内容下载。
Chrome会将Android和iOS用户的发布推迟一个版本,并开始在Chrome 83中发出警告。移动平台具有更好的本机保护,可抵御恶意文件,这种延迟将使开发人员在影响其移动用户之前先开始更新其网站。
通过确保下载仅使用HTTPS,开发人员可以防止用户看到下载警告。在当前版本的Chrome Canary或发布的Chrome 81中,开发人员可以通过启用 chrome//flags/上的 “通过不安全的连接将危险下载视为活动的混合内容”来激活警告,以进行测试。#treat-unsafe-downloads-as-active-content。