近日,谷歌安全博客發(fā)文稱,為了增強(qiáng)下載防護(hù)體驗(yàn),Chrome 瀏覽器將開(kāi)始阻止非安全超文本傳輸協(xié)議的混合內(nèi)容下載。作為去年宣布的一項(xiàng)計(jì)劃的
近日,谷歌安全博客發(fā)文稱,為了增強(qiáng)下載防護(hù)體驗(yàn),Chrome 瀏覽器將開(kāi)始阻止非“安全超文本傳輸協(xié)議”的混合內(nèi)容下載。作為去年宣布的一項(xiàng)計(jì)劃的延續(xù),Chrome 將開(kāi)始阻止“安全頁(yè)面”上的所有“非安全子資源”的接觸。鑒于不安全的文件下載會(huì)威脅到用戶的安全與隱私,此事確實(shí)值得推進(jìn)。
(來(lái)自:Google Security Blog)
比如,攻擊者可攔截不安全的下載地址,將程序替換成惡意軟件、甚至訪問(wèn)更多的敏感信息。為管控這些風(fēng)險(xiǎn),谷歌最終還是決定取消對(duì)不安全下載的支持。
初期,Chrome 將屏蔽始于安全頁(yè)面的不安全下載。這種情況尤其讓人擔(dān)憂,因?yàn)?Chrome 當(dāng)前無(wú)法向用戶表明其隱私和安全受到威脅。
從 2020 年 4 月的 Chrome 82 開(kāi)始,谷歌瀏覽器將逐步放出警告、直至最終阻止這類(lèi)混合內(nèi)瓤的下載。
對(duì)用戶構(gòu)成最大風(fēng)險(xiǎn)的文件類(lèi)型(可執(zhí)行文件)將首先受到影響,后續(xù)版本將覆蓋更多的文件類(lèi)型。
逐步推出的目的,旨在快速緩解最嚴(yán)重的風(fēng)險(xiǎn),為開(kāi)發(fā)人員提供更新其網(wǎng)站的緩沖時(shí)間,并最大程度地減少 Chrome 用戶必須看到的警告數(shù)量。
谷歌計(jì)劃首先在 Windows、macOS、Chrome OS 和 Linux 桌面平臺(tái)上推出對(duì)混合內(nèi)容下載的限制,下面是 Chrome 團(tuán)隊(duì)的計(jì)劃安排:
Chrome 81(2020 年 3 月):瀏覽器會(huì)蹦出一條控制臺(tái)消息,警告所有混合內(nèi)容的下載;
Chrome 82(2020 年 4 月):瀏覽器將警告(.exe 等可執(zhí)行文件)的混合內(nèi)容下載;
Chrome 83(2020 年 6 月):警告 .zip 檔案和 .iso 磁盤(pán)映像混合內(nèi)容的下載;
Chrome 84(2020 年 8 月):警告除圖片、音視頻、文本之外的混合內(nèi)容的下載;
Chrome 85(2020 年 9 月):警告圖像、音視頻和文本類(lèi)混合內(nèi)容的下載;
Chrome 86(2020 年 10 月):阻止所有類(lèi)型混合內(nèi)容的下載。
至于 Android 和 iOS 移動(dòng)平臺(tái),谷歌會(huì)將相關(guān)政策推遲一個(gè)版本,從 Chrome 83 開(kāi)始發(fā)出警告。
鑒于移動(dòng)平臺(tái)具有更好的抵御惡意文件的本機(jī)防護(hù)功能,留出的時(shí)間差,使得開(kāi)發(fā)者有機(jī)會(huì)在用戶遇到問(wèn)題前,對(duì)自家移動(dòng)網(wǎng)站進(jìn)行更新。
此外在當(dāng)前版本的 Chrome Canary 或 Chrome 81 中,開(kāi)發(fā)者可啟用“將不安全的連接視作危險(xiǎn)的混合內(nèi)容下載”來(lái)激活相關(guān)警告。
chrome://flags/#treat-unsafe-downloads-as-active-content
企業(yè)和教育客戶可通過(guò)現(xiàn)有的每個(gè)站點(diǎn)來(lái)阻止,在 InsecureContentAllowedForUrls 中添加與請(qǐng)求下載頁(yè)面匹配的模式來(lái)實(shí)施相關(guān)策略。
關(guān)鍵詞: Chrome 非安全超文本傳輸協(xié)議