作者 | Joe DeBlasio
編譯 | 屠敏
為進一步加固瀏覽器的安全防線,近日,Google 再次行動,並於 Chromium 官方博客上宣布,為逐步確保安全頁面(HTTPS)下載安全文件,Chrome 瀏覽器計劃開始阻止「混合內容下載」(簡而言之,阻止不太安全的非 HTTPS 內容下載)。
事實上,就 Google 此舉,對於不少開發者而言,屬於意料之中。畢竟早在 2018 年,Google 在 Chrome 68 中就啟用了警告信息,即當加載非 HTTPS 網站時,Chrome 瀏覽器會將其標記為「不安全」。
如今,Chrome 開始阻止安全頁面上的所有不安全子資源就是 Google 的下一步計劃。至於為何如此,究其緣由,Google 解釋道,不安全下載的文件會涉及威脅用戶的安全和隱私。譬如,攻擊者可以將不安全的程序換為惡意軟體,用戶通過不安全的連結下載之後,黑客可讀取用戶個人隱私等信息。因此,為了解決這些風險,Google 計劃在 Chrome 不斷疊代的版本中,徹底消滅非 HTTPS 的下載頁面。
基於此,Google 將從 Chrome 82 開始(將於 2020 年 4 月發布),逐漸開始對頁面進行警告並相繼阻止這些混合內容的下載。在這一過程中,對用戶構成最大風險的文件類型(如可執行文件)將首先受到影響,隨後的發行版將涵蓋更多文件類型。
對此,Google 針對桌面平台(Windows、macOS、Chrome OS 和 Linux)設下了六步:
-
Chrome 81(將於2020年3月發布):顯示控制台消息,警告所有混合內容下載;
-
Chrome 82(將於2020年4月發布):警告可執行文件(例如.exe)的混合內容下載;
-
Chrome 83(將於2020年6月發布):阻止混合內容可執行文件;警告混合內容檔案(.zip)和磁碟鏡像(.iso);
-
Chrome 84(將於2020年8月發布):阻止混合內容的可執行文件;歸檔文件和磁碟鏡像;
-
Chrome 85(將於2020年9月發布):警告下載圖像、音頻、視頻和文本的混合內容,阻止所有其他混合內容下載;
-
Chrome 86(將於2020年10月發布):阻止所有混合內容下載。
直至最終,針對 Android 和 iOS 平台,Chrome 會推遲一個版本,從 Chrome 83 開始發出警告。這主要是因為移動平台本身具有更好的本機保護機制,可抵禦惡意文件,這種延遲可以給開發者足夠的時間,以便不安全的網站在影響移動用戶之前先開始更新網站。
在此,我們也不禁猜測,繼這一動作之後,Google 或許會針對所有的非 HTTPS 網站再做一次徹底地清理,直至消失。
最後,針對這一舉措,你怎麼看?