Google Chrome將阻止混合內容下載
最近更新時間 2020-02-08 13:58:58
2020年2月6日,谷歌在 Chromium 博客中宣佈,Chrome 將逐步確保安全(HTTPS)頁面僅能下載安全的文件。將開始阻止“混合內容下載”(在安全(HTTPS)頁面上下載非HTTPS內容)。該計劃是去年宣佈的阻止安全頁面上所有不安全資源計劃的一部分。
不安全的文件下載會威脅用戶的安全和隱私。例如,攻擊者可以將下載不安全(非HTTPS傳輸)的程序替換為惡意軟件,竊聽者可以讀取用戶下載不安全的銀行對帳單。
從 Chrome 82(將於2020年4月發佈)開始,Chrome 將逐漸開始警告並隨後阻止這些混合內容下載。對用戶構成最大風險的文件類型(例如,可執行文件)將首先受到影響,隨後的版本將覆蓋更多文件類型。這種逐步推出的目的是快速緩解最嚴重的風險,為開發人員提供機會更新網站,並最大程度地減少 Chrome 用戶看到的警告數量。
首先在桌面平臺(Windows,macOS,Chrome OS和Linux)上推出對混合內容下載的限制。針對臺式機平臺的計劃如下:
- 在Chrome 81 (於2020年3月發佈)和更高版本中:
- Chrome瀏覽器會打印一條控制檯消息,警告所有混合內容下載。
- 在Chrome 82(於2020年4月發佈)中:
- Chrome瀏覽器會警告可執行文件(例如.exe)的混合內容下載。
- 在Chrome 83(於2020年6月發佈)中:
- Chrome瀏覽器將阻止混合內容的可執行文件。
Chrome會警告混合內容檔案(.zip)和磁盤映像(.iso)。 - 在Chrome 84(於2020年8月發佈)中:
- Chrome瀏覽器將阻止混合內容的可執行文件,歸檔文件和磁盤映像。
Chrome瀏覽器會警告所有其他混合內容下載,但圖片,音頻,視頻和文本格式除外。 - 在Chrome 85(於2020年9月發佈)中:
- Chrome瀏覽器會警告您下載圖像,音頻,視頻和文本的混合內容。
Chrome瀏覽器將阻止所有其他混合內容下載。 - 在Chrome 82(於2020年4月發佈)中:
- Chrome瀏覽器會警告可執行文件(例如.exe)的混合內容下載。
- 在Chrome 86(2020年10月發佈)及更高版本中:
- Chrome將阻止所有混合內容下載。
Chrome會將Android和iOS用戶的發佈推遲一個版本,並開始在Chrome 83中發出警告。移動平臺具有更好的本機保護,可抵禦惡意文件,這種延遲將使開發人員在影響其移動用戶之前先開始更新其網站。
通過確保下載僅使用HTTPS,開發人員可以防止用戶看到下載警告。在當前版本的Chrome Canary或發佈的Chrome 81中,開發人員可以通過啟用 chrome//flags/上的 “通過不安全的連接將危險下載視為活動的混合內容”來激活警告,以進行測試。#treat-unsafe-downloads-as-active-content。