谷歌年底将执行更严网页HTTPS加密规定

来源：中关村在线　2019-10-12 10:55:26

Google本周宣布从今年12月的Chrome79开始，Chrome将逐步封锁HTTPS网页中，使用HTTP协议下载的内容，包括影音、图片文件、iFrame等。

今年4月Google预告未来Chrome将预设封锁HTTPS网页中的HTTP下载内容，像是可执行文件及压缩文件。在最新的公告下，Google宣布这项方案即将于明年实施。

Google近年逐步要求网站管理员实行HTTPS网页加密，Google表示，现在Chrome用户超过90%的上网时间是花在HTTPS连线上。但是混合内容(mixed content)则成了漏网之鱼。虽然浏览器会预设封锁脚本程序和iFrame，但是仍然允许图片、声音和视频内容下载，这些就成了用户隐私和安全威胁，例如骇客可能篡改公司股价图误导投资人，或在这些内容注入追踪行踪的cookies。此外，混合内容也会引发使用经验(UX)上的混淆，因为网站会显示为介于“安全”和“不安全”之间。

因此从12月释出的Chrome 79起，Google将逐步实施预设封锁混合内容。为了减少冲击，Chrome也会加入解除封锁、允许“特定”网站混合内容的设定。使用者点入HTTPS：//网页上的锁头图示，点入“网站设定”即可变更封锁设定。适用对象包括混合的脚本程序、iFrame及其他内容，而这也会取代原本PC版Chrome在网址栏右方使用的盾牌图示。

Chrome 80版本中，所有混合内容中的影音文件将自动升级为HTTPS：//。如果网站已经可由HTTPS：//下载图片、影音内容，则网站就照常运作，否则就无法下载。不过使用者还是可变更设定，来下载特定网站的影音内容。

Chrome 80还是允许以HTTP下载图片文件，但是Chrome会在网址列显示“不安全”的图示，借此驱使网站尽速升级到HTTPS。而从Chrome 81开始，Chrome也会将图片文件升级到HTTPS：//，封锁HTTP：//下载。Chrome 80及81将分别于明年1月及2月，释出早期开发版本。

对于网站管理员及开发人员，Google也提供自我检查有无混合内容的工具，以及将服务器搬到HTTPS的方法。Google也提醒网站管理员利用CDN、网页主机及内容管理系统的工具来为网页内容除错，而Cloudflare和WordPress都提供了相关资源。

标签：谷歌加密规定

推荐DIY文章