谷歌安全博客发文称,为了增强下载防护体会,Chrome浏览器将开端阻挠非“安全超文本传输协议”的混合内容下载。作为上一年宣告的一项方案的连续,Chrome将开端阻挠“安全页面”上的一切“非安全子资源”的触摸。鉴于不安全的文件下载会要挟到用户的安全与隐私,此事的确值得推动。
(来自:GoogleSecurityBlog)
比方,攻击者可阻拦不安全的下载地址,将程序替换成歹意软件、乃至拜访更多的灵敏信息。为管控这些风险,谷歌终究仍是决议撤销对不安全下载的支撑。
初期,Chrome将屏蔽始于安全页面的不安全下载。这种状况特别让人忧虑,由于Chrome当时无法向用户标明其隐私和安全遭到要挟。
从2020年4月的Chrome82开端,谷歌浏览器将逐渐放出正告、直至终究阻挠这类混合内瓤的下载。
对用户构成最大风险的文件类型(可执行文件)将首要遭到影响,后续版别将掩盖更多的文件类型。
逐渐推出的意图,旨在快速缓解最严峻的风险,为开发人员供给更新其站的缓冲时刻,并最大程度地削减Chrome用户有必要看到的正告数量。
谷歌方案首要在Windows、macOS、ChromeOS和Linux桌面渠道上推出对混合内容下载的约束,下面是Chrome团队的方案组织:
Chrome81(2020年3月):浏览器会蹦出一条控制台音讯,正告一切混合内容的下载;
Chrome82(2020年4月):浏览器将正告(.exe等可执行文件)的混合内容下载;
Chrome83(2020年6月):正告.zip档案和.iso磁盘映像混合内容的下载;
Chrome84(2020年8月):正告除图片、音视频、文本之外的混合内容的下载;
Chrome85(2020年9月):正告图画、音视频和文本类混合内容的下载;
Chrome86(2020年10月):阻挠一切类型混合内容的下载。
a
至于Android和iOS移动渠道,谷歌会将相关方针推延一个版别,从Chrome83开端宣布正告。
鉴于移动渠道具有更好的抵挡歹意文件的本机防护功用,留出的时刻差,使得开发者有机会在用户遇到问题前,对自家移动站进行更新。
此外在当时版别的ChromeCanary或Chrome81中,开发者可启用“将不安全的衔接视作风险的混合内容下载”来激活相关正告。
chrome://flags/#treat-unsafe-downloads-as-active-content
企业和教育客户可通过现有的每个站点来阻挠,在InsecureContentAllowedForUrls中增加与恳求下载页面匹配的形式来施行相关战略。
;文章来自:软文ruanwen.tingclouds