Chrome逐步阻止不安全的非HTTPS下载
环度小编:xadmin 发布时间:2020-02-11 阅读数:125

正如此前预告,谷歌2月5日发布了 Chrome 80正式版 ,Windows、macOS、Linux、Android、iOS等全平台均可下载安装或者在浏览器内检查更新。

Chrome 80进一步加强了安全性等,同时也引入更多方便开发者的功能点,主要包括以下方面。

1、在HTTPS下自动加载升级后的混合内容(音视频等)。如果无法重写网页内容中的URL,那么会在地址栏中出现“Not Secure”标记,并默认禁用HTTP音视频,只有混合类图片允许继续加载。

今年4月的Chrome 81中,若存在HTTP的混合图像内容无法重定向HTTPS的话,也会默认禁用。

2、引入SameSite cookie更严格的安全分类,只有HTTPS、且SameSite设置为None时才允许第三方调用Cookie。其实早在Chrome 51中,SamSite Cookie首次引入,其设计为用来阻伪造的止跨站点Cookie请求。

3、更安静的消息通知。网页请求发送通知权限时,横幅或者弹窗通知会以更安静、更低调的方式呈现,而不再像原来那样在网页中间或顶部/底部占用空间。

谷歌在自家的Chrome浏览器上一直是有一定的警告、预防机制的,尽管不会完全屏蔽他们,但也在尽可能帮助用户规避这些不安全的网页内容,他们将HTTPS网页上的一些非HTTPS的下载内容称为混合内容下载。根据谷歌安全博客的消息,从今天开始,Chrome将会警告用户网页中的这些“混合下载”,而从今年6月份开始,Chrome则将逐步阻止此类文件的下载,从而令网页开发者及时修复这些被认为不安全的下载内容。

通常来讲,HTTPS网页至少可以保证页面本身是安全的,但是,这并不能确保页面上所有的内容都是安全的,包括图像和视频,尤其是广告等一些乱七八糟的下载内容,都有可能是通过纯HTTP下载的不安全内容。

1.jpg

谷歌目前正在尝试在Chrome上阻止这类内容的下载,但不会一口气就把不安全的内容彻底封杀,而是会有一个过渡期。从2020年4月的Chrome 82开始,Chrome会警告用户有关.exe和.apk安装程序中包含安全风险的可执行文件,接着会慢慢阻止不同类别的风险文件下载,直到今年10月,所有的此类下载行为都会被Chrome 86阻止。这里说的是桌面端,Android和iOS版本将有一个月的延迟,因为这些平台本身已经有一些技术来防止不安全下载(内容来自网络)