通知!Google将在10月发布Chrome浏览器86新版本,这次新版本更新除了扩展该工具的实用性之外,还有一个重点,就是全面阻止所有非HTTPS混合内容的下载。
为什么阻止HTTPS页面的混合内容下载?
HTTPS混合内容错误是指初始网页通过安全的HTTPS链接加载,但页面中其他资源,比如图像,视频,样式表,脚本却通过不安全的HTTP链接加载,这样就会出现混合内容错误,也就是不安全因素。因此,下载HTTPS混合内容对于Chrome用户来说是非常不安全的。
然而,根据谷歌报道,Chrome用户在所有主要平台上超过90%的浏览时间都使用HTTPS,但是这些安全页面通常会加载不安全的HTTP子资源。这种不安全因素会严重影响甚至威胁到用户的安全和隐私。比如,攻击者可拦截不安全的下载地址,将程序替换成恶意软件、甚至访问更多的敏感信息。为管控这些风险,谷歌最终还是决定在Chrome中禁止加载不安全资源。
作为去年宣布的一项计划的延续,Chrome将开始阻止“安全页面”(HTTPS)上所有“非安全子资源”(HTTP)的下载。具体阻止混合内容的计划时间表如下:
Chrome阻止混合内容的计划时间表
根据谷歌提供的时间表,从 Chrome 82(将于 2020 年 4 月发布)开始,Chrome 已逐步开始警告并随后阻止这些混合内容下载直至取消所有混合内容的下载。其中,对用户构成最大风险的文件类型(例如可执行文件)首先受到影响,后续发行的版本涵盖了更多文件类型。
具体来看,Chrome 团队将这一过程分为六个步骤,分别是:
Chrome 81(2020年3月):显示控制台消息,警告所有混合内容下载;
Chrome 82(2020年4月):警告可执行文件(例如 .exe)的混合内容下载;
Chrome 83(2020年6月):阻止下载,警告.zip档案和.iso磁盘镜像混合内容的下载;
Chrome 84(2020年8月):阻止可执行文件,.zip档案和.iso磁盘镜像混合内容的下载,警告除图片、音视频、文本之外的混合内容的下载;
Chrome 85(2020年9月):警告下载图像、音频、视频和文本的混合内容,阻止所有其他混合内容下载;
Chrome 86(2020年10月):阻止所有类型混合内容的下载。
以上是 Windows、macOS、ChromeOS 和 Linux 等在内的桌面平台上推出对混合内容下载的限制,而Android 和 iOS 移动平台则是从 Chrome 83 开始发出警告。
根据Google的计划,您网站上的非HTTPS混合内容即将面临被禁用。
相关阅读推荐:《解决HTTPS网站混合内容的方法》
