从不安全的站点下载图像也将被阻止Google继续推广HTTPS,越来越多地限制了没有TLS证书的网站,尽管此类网站很少。 从去年7月
开始 ,Chrome
开始将网站标记为不安全 。 现在,下一步-该公司宣布了一系列逐步
阻止混合内容的步骤。
混合内容 -这些是不受保护的元素,它们通过具有SSL证书的页面通过HTTP协议传输。 例如,来自第三方(不安全)域的图像,音频和视频。 这种做法将必须完全放弃。
“近年来,互联网在切换到HTTPS方面取得了长足的进步:Chrome在所有主要平台上的安全流量份额已超过90%。 现在我们要确保Internet上的HTTPS配置是安全且最新的,”该公司的官方博客解释说。
现在,默认情况下,浏览器会阻止多种类型的混合内容,包括脚本和框架,但多媒体元素仍在加载中。 根据Google的说法,这威胁到用户的隐私和安全。 由于此类流量未加密,因此容易受到所有类型的MiTM攻击。 例如,攻击者可以伪造股票图表来误导投资者,或在页面上放置跟踪跟踪器。
就UX界面而言,下载混合内容也会产生误导。 事实证明,页面的显示既不安全也不不安全,而是介于两者之间。
“从Chrome 79开始,默认情况下,所有混合内容将逐渐被阻止。 为了最大程度地减少损害,我们将自动将混合资源转移到https://,因此,如果网站的第三方资源也可以在https://上访问,则这些站点将继续自动运行,Google解释说。 “用户将能够启用该选项,以选择不阻止某些网站上的混合内容。”
Chrome 79将于2019年12月在稳定的版本中发布。 将有一个新设置来解锁某些站点上的混合内容。 此选项将应用于Chrome当前默认阻止的脚本,框架和其他类型的内容。 通过单击锁定图标可以打开对站点设置(站点设置)的访问,如屏幕截图所示。
在第二阶段,从Chrome 80版本开始(早期版本将于2020年1月出现),除从不安全站点下载的图像外,所有资源都将自动转移到https://,如果无法通过以下方式加载,Chrome默认会阻止它们: 。 上述解锁设置将仍然可用。
唯一的例外是即使不安全的连接浏览器也不会阻止的图像。 但是对于这种情况,界面中将显示警告“不安全”,如屏幕截图所示。
在Chrome 81(早期版本将于2020年2月出现)中,图像也会自动传输到https://,如果未通过HTTPS上传,则默认情况下Chrome会阻止它们。
Google建议Web开发人员使用
Lighthouse工具或第三方插件和实用程序来审核其资源。 例如,有一个
适用于WordPress的
插件和
Cloudflare的
实用程序 。
另请参见Habré上的
“向HTTPS过渡的完整指南” 。
Chrome的更改很快将被其他浏览器重复。 Google通常不会孤立地采取此类步骤。 一切都与Firefox,Edge和Safari开发团队的同事共同完成。 因此,到2020年,任何地方都不会下载任何混合内容。
