Google Chrome將阻止混合內容下載

最近更新時間 2020-02-08 13:58:58

2020年2月6日,谷歌在 Chromium 博客中宣佈,Chrome 將逐步確保安全(HTTPS)頁面僅能下載安全的文件。將開始阻止“混合內容下載”(在安全(HTTPS)頁面上下載非HTTPS內容)。該計劃是去年宣佈的阻止安全頁面上所有不安全資源計劃的一部分。

不安全的文件下載會威脅用户的安全和隱私。例如,攻擊者可以將下載不安全(非HTTPS傳輸)的程序替換為惡意軟件,竊聽者可以讀取用户下載不安全的銀行對帳單。

從 Chrome 82(將於2020年4月發佈)開始,Chrome 將逐漸開始警吿並隨後阻止這些混合內容下載。對用户構成最大風險的文件類型(例如,可執行文件)將首先受到影響,隨後的版本將覆蓋更多文件類型。這種逐步推出的目的是快速緩解最嚴重的風險,為開發人員提供機會更新網站,並最大程度地減少 Chrome 用户看到的警吿數量。

首先在桌面平台(Windows,macOS,Chrome OS和Linux)上推出對混合內容下載的限制。針對台式機平台的計劃如下:

mix_dl_table

在Chrome 81 (於2020年3月發佈)和更高版本中:
Chrome瀏覽器會打印一條控制枱消息,警吿所有混合內容下載。
在Chrome 82(於2020年4月發佈)中:
Chrome瀏覽器會警吿可執行文件(例如.exe)的混合內容下載。
在Chrome 83(於2020年6月發佈)中:
Chrome瀏覽器將阻止混合內容的可執行文件。
Chrome會警吿混合內容檔案(.zip)和磁盤映像(.iso)。
在Chrome 84(於2020年8月發佈)中:
Chrome瀏覽器將阻止混合內容的可執行文件,歸檔文件和磁盤映像。
Chrome瀏覽器會警吿所有其他混合內容下載,但圖片,音頻,視頻和文本格式除外。
在Chrome 85(於2020年9月發佈)中:
Chrome瀏覽器會警吿您下載圖像,音頻,視頻和文本的混合內容。
Chrome瀏覽器將阻止所有其他混合內容下載。
在Chrome 82(於2020年4月發佈)中:
Chrome瀏覽器會警吿可執行文件(例如.exe)的混合內容下載。
在Chrome 86(2020年10月發佈)及更高版本中:
Chrome將阻止所有混合內容下載。

file discard

Chrome會將Android和iOS用户的發佈推遲一個版本,並開始在Chrome 83中發出警吿。移動平台具有更好的本機保護,可抵禦惡意文件,這種延遲將使開發人員在影響其移動用户之前先開始更新其網站。

通過確保下載僅使用HTTPS,開發人員可以防止用户看到下載警吿。在當前版本的Chrome Canary或發佈的Chrome 81中,開發人員可以通過啟用 chrome//flags/上的 “通過不安全的連接將危險下載視為活動的混合內容”來激活警吿,以進行測試。#treat-unsafe-downloads-as-active-content。

rss_feed