此舉是避免當使用者在HTTPS網頁下載來自HTTP的內容(混合內容)時,可能下載到惡意程式或遭竊聽
圖說:上述的時程適用於桌面版Chrome,至於行動版Chrome的相關政策,則會以落後一個版本的腳步實施,例如Android或iOS的Chrome用戶,要到Chrome 83才會看到有關混合內容的警告。(圖片來源/Google,https://security.googleblog.com/2020/02/protecting-users-from-insecure_6.html)
Google在本周公布了未來的Chrome版本將逐步封鎖混合內容的時程表,從今年3月發表的Chrome 81開始,針對所有的混合內容下載提出警告。到了10月出爐的Chrome 86,即會封鎖所有的混合內容下載。
Google此舉是為了確保安全的HTTPS網頁只能下載安全檔案,避免讓使用者於HTTPS網頁上下載來自HTTP的內容(混合內容),以減少Chrome用戶下載惡意程式或遭到竊聽的風險。
因此,從3月發表的Chrome 81起,Google將會針對所有的混合內容下載,在控制台中提出警告訊息,涵蓋執行檔、壓縮檔、PDF/DOCX等不安全的檔案,以及圖片/影片/聲音/文字等。而在4月的Chrome 82中,會針對執行檔(EXE或APK等)直接提出警告,其它類型的混合內容則會有控制台警告。
不過,6月的Chrome 83就會直接封鎖混合內容中的執行檔,8月的Chrome 84將封鎖混合內容中的執行檔與壓縮檔,9月的Chrome 85封鎖的是執行檔、壓縮檔與PDF/DOCX等檔案,10月出爐的Chrome 86及之後的版本,就會封鎖所有的混合內容下載。
上述的時程適用於桌面版Chrome,至於行動版Chrome的相關政策,則會以落後一個版本的腳步實施,例如Android或iOS的Chrome用戶,要到Chrome 83才會看到有關混合內容的警告。
Google說,開發人員只要確保所有的下載都透過HTTPS,就能防止使用者看到警告訊息,也呼籲開發人員應全面遷移到HTTPS。
(本文轉載於iThome,完整文章請至https://www.ithome.com.tw/news/135712觀看)
線