2020年10月,Google 即将发布正式更新的Chrome浏览器86新版本。此次更新除了扩展该工具的实用性之外,最重要的一点的是将全面阻止所有非HTTPS混合内容的下载。

chromesecuredownloads.jpg

早在今年2月,Google 在Chromium博客发文称,为了增强下载防护体验,Chrome浏览器将开始阻止非“安全超文本传输协议” 的混合内容下载(即安全页面上非HTTPS下载),进一步确保安全性,直至最终完全取消对 Chrome 中不安全下载的支持。

为什么阻止HTTPS页面的混合内容下载?

HTTPS混合内容错误是指初始网页通过安全的HTTPS链接加载,但页面中其他资源,比如图像,视频,样式表,脚本却通过不安全的HTTP链接加载,这样就会出现混合内容错误,也就是不安全因素。因此,下载HTTPS混合内容对于Chrome用户来说是非常不安全的。然而,根据谷歌报道,Chrome用户在所有主要平台上超过90%的浏览时间都使用HTTPS,但是这些安全页面通常会加载不安全的HTTP子资源。这种不安全因素会严重影响甚至威胁到用户的安全和隐私。比如,攻击者可拦截不安全的下载地址,将程序替换成恶意软件、甚至访问更多的敏感信息。为管控这些风险,谷歌最终还是决定在Chrome中禁止加载不安全资源。

不安全提示.png

(阻止下载的警告示例)

作为去年宣布的一项计划的延续,Chrome将开始阻止“安全页面”(HTTPS)上所有“非安全子资源”(HTTP)的下载。具体阻止混合内容的计划时间表如下:

Chrome阻止混合内容的计划时间表

根据谷歌提供的时间表,从 Chrome 82(将于 2020 年 4 月发布)开始,Chrome 已逐步开始警告并随后阻止这些混合内容下载直至取消所有混合内容的下载。其中,对用户构成最大风险的文件类型(例如可执行文件)首先受到影响,后续发行的版本涵盖了更多文件类型。

mix_dl_table.png

(转载于Chromium博客)

具体来看,Chrome 团队将这一过程分为六个步骤,分别是:

  • Chrome 81(2020年3月):显示控制台消息,警告所有混合内容下载;
  • Chrome 82(2020年4月):警告可执行文件(例如 .exe)的混合内容下载;
  • Chrome 83(2020年6月):阻止下载,警告.zip档案和.iso磁盘镜像混合内容的下载;
  • Chrome 84(2020年8月):阻止可执行文件,.zip档案和.iso磁盘镜像混合内容的下载,警告除图片、音视频、文本之外的混合内容的下载;
  • Chrome 85(2020年9月):警告下载图像、音频、视频和文本的混合内容,阻止所有其他混合内容下载;
  • Chrome 86(2020年10月):阻止所有类型混合内容的下载。

以上是 Windows、macOS、ChromeOS 和 Linux 等在内的桌面平台上推出对混合内容下载的限制,而Android 和 iOS 移动平台则是从 Chrome 83 开始发出警告。

根据Google的计划,您网站上的非HTTPS混合内容即将面临被禁用。

解决HTTPS混合内容的方法

1.  查找混合内容

很多网站管理者可能不太清楚其网站哪些是混合内容,是否存在混合内容,锐成信息小编推荐您使用Chrome的“开发者工具”:

开发工具8.png

访问需要测试网页,然后打开,开发者工具,选择“Security”-"Non-Secure Origin",就可以看到Mixed Content:

mixed content.png

检测出后混合内容文件后,确保所有文件都仅通过HTTPS下载,以便让用户可以放心下载使用您网站的资源。

2.  全站HTTPS加密

 为了避免您站点页面和资源在Chrome混合内容不安全下载计划中受限,小编建议站点开发人员尽快将HTTP子资源全部迁移到HTTPS,以此更好的为用户提供更安全的保护。

via https://www.racent.com/blog/google-chrome86-will-block-insecure-mixed-contents-on-HTTPS-pages

Google Chrome 86 更新了—已全面阻止非HTTPS混合内容
标签: