Chrome 增強下載防護功能 逐步淘汰不安全的非 HTTPS 連結

谷歌安全部落格發文稱，為了增強下載防護體驗，Chrome 瀏覽器將開始阻止非“安全超文字傳輸協議”的混合內容下載。作為去年宣佈的一項計劃的延續，Chrome 將開始阻止“安全頁面”上的所有“非安全子資源”的接觸。鑑於不安全的檔案下載會威脅到使用者的安全與隱私，此事確實值得推進。

比如，攻擊者可攔截不安全的下載地址，將程式替換成惡意軟體、甚至訪問更多的敏感資訊。為管控這些風險，谷歌最終還是決定取消對不安全下載的支援。

初期，Chrome 將遮蔽始於安全頁面的不安全下載。這種情況尤其讓人擔憂，因為 Chrome 當前無法向使用者表明其隱私和安全受到威脅。

從 2020 年 4 月的 Chrome 82 開始，谷歌瀏覽器將逐步放出警告、直至最終阻止這類混合內瓤的下載。

對使用者構成最大風險的檔案型別（可執行檔案）將首先受到影響，後續版本將覆蓋更多的檔案型別。

逐步推出的目的，旨在快速緩解最嚴重的風險，為開發人員提供更新其網站的緩衝時間，並最大程度地減少 Chrome 使用者必須看到的警告數量。

谷歌計劃首先在 Windows、macOS、Chrome OS 和 Linux 桌面平臺上推出對混合內容下載的限制，下面是 Chrome 團隊的計劃安排：

• Chrome 81（2020 年 3 月）：瀏覽器會蹦出一條控制檯訊息，警告所有混合內容的下載；
• Chrome 82（2020 年 4 月）：瀏覽器將警告（.exe 等可執行檔案）的混合內容下載；
• Chrome 83（2020 年 6 月）：警告 .zip 檔案和 .iso 磁碟映像混合內容的下載；
• Chrome 84（2020 年 8 月）：警告除圖片、音影片、文字之外的混合內容的下載；
• Chrome 85（2020 年 9 月）：警告影像、音影片和文字類混合內容的下載；
• Chrome 86（2020 年 10 月）：阻止所有型別混合內容的下載。

至於 Android 和 iOS 移動平臺，谷歌會將相關政策推遲一個版本，從 Chrome 83 開始發出警告。

鑑於移動平臺具有更好的抵禦惡意檔案的本機防護功能，留出的時間差，使得開發者有機會在使用者遇到問題前，對自家移動網站進行更新。

此外在當前版本的 Chrome Canary 或 Chrome 81 中，開發者可啟用“將不安全的連線視作危險的混合內容下載”來啟用相關警告。

chrome://flags/#treat-unsafe-downloads-as-active-content

企業和教育客戶可透過現有的每個站點來阻止，在 InsecureContentAllowedForUrls 中新增與請求下載頁面匹配的模式來實施相關策略。

來源：cnBeta.COM

更多資訊

CNNIC 將採取多項措施做好疫情期間網路基礎保障工作

2月7日下午訊息，中國網際網路絡資訊中心（CNNIC）發文稱堅決貫徹落實中央關於疫情防控工作重要精神，為保證抗疫工作的順利進行，將採取三項措施。

來源：新浪科技
詳情連結： https://www.dbsec.cn/blog/news.html 

日本多家軍工企業曾遭網路攻擊 不確定是否有機密外洩

據日本共同社2月7日報導，有關防衛相關企業接連遭到網路攻擊，日本防衛省6日釋出新的訊息稱，2016至2018年度神戶制鋼所與航空測量巨頭PASCO曾遭到網路攻擊。這兩家公司也公佈了遭攻擊的事實，神戶制鋼承認包括防衛省相關資訊在內，共250份檔案可能外洩。據悉，防衛省指定的秘密資料沒有外洩。

來源：環球時報
詳情連結： https://www.dbsec.cn/blog/news.html 

FB 要求人臉識別公司 Clearview AI 停止採集使用者資料

Facebook 已經向人工智慧創業公司 Clearview AI 傳送了停止和終止函，要求其停止為執法目的而使用使用者影像來識別其身份。此前已有多家社交媒體發出同樣的函件。

來源：新浪科技
詳情連結： https://www.dbsec.cn/blog/news.html 

卡巴警告：9 部奧斯卡提名影片網路免費資源有坑、檢出大量惡意軟體

第 92 屆奧斯卡頒獎典禮將於 2 月 9 日在杜比劇院舉行，其中最受關注的無疑是最佳影片的角逐。卡巴斯基實驗室發現，不法分子們已經開始變著花樣蹭熱度了。透過對 9 部提名影片進行網路篩查，結果找出多達 20 家釣魚網站和 925 個惡意檔案。

來源：快科技
詳情連結： https://www.dbsec.cn/blog/news.html 

（資訊來源於網路，安華金和蒐集整理）