Chrome增強(qiáng)下載防護(hù)體驗(yàn) 將阻止下載非安全超文本傳輸協(xié)議

近日，谷歌安全博客發(fā)文稱，為了增強(qiáng)下載防護(hù)體驗(yàn)，Chrome 瀏覽器將開(kāi)始阻止非安全超文本傳輸協(xié)議的混合內(nèi)容下載。作為去年宣布的一項(xiàng)計(jì)劃的

近日，谷歌安全博客發(fā)文稱，為了增強(qiáng)下載防護(hù)體驗(yàn)，Chrome 瀏覽器將開(kāi)始阻止非“安全超文本傳輸協(xié)議”的混合內(nèi)容下載。作為去年宣布的一項(xiàng)計(jì)劃的延續(xù)，Chrome 將開(kāi)始阻止“安全頁(yè)面”上的所有“非安全子資源”的接觸。鑒于不安全的文件下載會(huì)威脅到用戶的安全與隱私，此事確實(shí)值得推進(jìn)。

(來(lái)自：Google Security Blog)

比如，攻擊者可攔截不安全的下載地址，將程序替換成惡意軟件、甚至訪問(wèn)更多的敏感信息。為管控這些風(fēng)險(xiǎn)，谷歌最終還是決定取消對(duì)不安全下載的支持。

初期，Chrome 將屏蔽始于安全頁(yè)面的不安全下載。這種情況尤其讓人擔(dān)憂，因?yàn)?Chrome 當(dāng)前無(wú)法向用戶表明其隱私和安全受到威脅。

從 2020 年 4 月的 Chrome 82 開(kāi)始，谷歌瀏覽器將逐步放出警告、直至最終阻止這類(lèi)混合內(nèi)瓤的下載。

對(duì)用戶構(gòu)成最大風(fēng)險(xiǎn)的文件類(lèi)型(可執(zhí)行文件)將首先受到影響，后續(xù)版本將覆蓋更多的文件類(lèi)型。

逐步推出的目的，旨在快速緩解最嚴(yán)重的風(fēng)險(xiǎn)，為開(kāi)發(fā)人員提供更新其網(wǎng)站的緩沖時(shí)間，并最大程度地減少 Chrome 用戶必須看到的警告數(shù)量。

谷歌計(jì)劃首先在 Windows、macOS、Chrome OS 和 Linux 桌面平臺(tái)上推出對(duì)混合內(nèi)容下載的限制，下面是 Chrome 團(tuán)隊(duì)的計(jì)劃安排：

Chrome 81(2020 年 3 月)：瀏覽器會(huì)蹦出一條控制臺(tái)消息，警告所有混合內(nèi)容的下載;

Chrome 82(2020 年 4 月)：瀏覽器將警告(.exe 等可執(zhí)行文件)的混合內(nèi)容下載;

Chrome 83(2020 年 6 月)：警告 .zip 檔案和 .iso 磁盤(pán)映像混合內(nèi)容的下載;

Chrome 84(2020 年 8 月)：警告除圖片、音視頻、文本之外的混合內(nèi)容的下載;

Chrome 85(2020 年 9 月)：警告圖像、音視頻和文本類(lèi)混合內(nèi)容的下載;

Chrome 86(2020 年 10 月)：阻止所有類(lèi)型混合內(nèi)容的下載。

至于 Android 和 iOS 移動(dòng)平臺(tái)，谷歌會(huì)將相關(guān)政策推遲一個(gè)版本，從 Chrome 83 開(kāi)始發(fā)出警告。

鑒于移動(dòng)平臺(tái)具有更好的抵御惡意文件的本機(jī)防護(hù)功能，留出的時(shí)間差，使得開(kāi)發(fā)者有機(jī)會(huì)在用戶遇到問(wèn)題前，對(duì)自家移動(dòng)網(wǎng)站進(jìn)行更新。

此外在當(dāng)前版本的 Chrome Canary 或 Chrome 81 中，開(kāi)發(fā)者可啟用“將不安全的連接視作危險(xiǎn)的混合內(nèi)容下載”來(lái)激活相關(guān)警告。

chrome://flags/#treat-unsafe-downloads-as-active-content

企業(yè)和教育客戶可通過(guò)現(xiàn)有的每個(gè)站點(diǎn)來(lái)阻止，在 InsecureContentAllowedForUrls 中添加與請(qǐng)求下載頁(yè)面匹配的模式來(lái)實(shí)施相關(guān)策略。

關(guān)鍵詞： Chrome 非安全超文本傳輸協(xié)議