Chrome 增強下載防護功能 逐步淘汰不安全的非 HTTPS 連結

安华金和發表於2020-02-08

谷歌安全部落格發文稱,為了增強下載防護體驗,Chrome 瀏覽器將開始阻止非“安全超文字傳輸協議”的混合內容下載。作為去年宣佈的一項計劃的延續,Chrome 將開始阻止“安全頁面”上的所有“非安全子資源”的接觸。鑑於不安全的檔案下載會威脅到使用者的安全與隱私,此事確實值得推進。

比如,攻擊者可攔截不安全的下載地址,將程式替換成惡意軟體、甚至訪問更多的敏感資訊。為管控這些風險,谷歌最終還是決定取消對不安全下載的支援。

初期,Chrome 將遮蔽始於安全頁面的不安全下載。這種情況尤其讓人擔憂,因為 Chrome 當前無法向使用者表明其隱私和安全受到威脅。

從 2020 年 4 月的 Chrome 82 開始,谷歌瀏覽器將逐步放出警告、直至最終阻止這類混合內瓤的下載。

對使用者構成最大風險的檔案型別(可執行檔案)將首先受到影響,後續版本將覆蓋更多的檔案型別。

逐步推出的目的,旨在快速緩解最嚴重的風險,為開發人員提供更新其網站的緩衝時間,並最大程度地減少 Chrome 使用者必須看到的警告數量。

谷歌計劃首先在 Windows、macOS、Chrome OS 和 Linux 桌面平臺上推出對混合內容下載的限制,下面是 Chrome 團隊的計劃安排:

Chrome 增強下載防護功能 逐步淘汰不安全的非 HTTPS 連結

  • Chrome 81(2020 年 3 月):瀏覽器會蹦出一條控制檯訊息,警告所有混合內容的下載;
  • Chrome 82(2020 年 4 月):瀏覽器將警告(.exe 等可執行檔案)的混合內容下載;
  • Chrome 83(2020 年 6 月):警告 .zip 檔案和 .iso 磁碟映像混合內容的下載;
  • Chrome 84(2020 年 8 月):警告除圖片、音視訊、文字之外的混合內容的下載;
  • Chrome 85(2020 年 9 月):警告影象、音視訊和文字類混合內容的下載;
  • Chrome 86(2020 年 10 月):阻止所有型別混合內容的下載。

至於 Android 和 iOS 移動平臺,谷歌會將相關政策推遲一個版本,從 Chrome 83 開始發出警告。

鑑於移動平臺具有更好的抵禦惡意檔案的本機防護功能,留出的時間差,使得開發者有機會在使用者遇到問題前,對自家移動網站進行更新。

此外在當前版本的 Chrome Canary 或 Chrome 81 中,開發者可啟用“將不安全的連線視作危險的混合內容下載”來啟用相關警告。

chrome://flags/#treat-unsafe-downloads-as-active-content

企業和教育客戶可通過現有的每個站點來阻止,在 InsecureContentAllowedForUrls 中新增與請求下載頁面匹配的模式來實施相關策略。

來源:cnBeta.COM

更多資訊

CNNIC 將採取多項措施做好疫情期間網路基礎保障工作

2月7日下午訊息,中國網際網路絡資訊中心(CNNIC)發文稱堅決貫徹落實中央關於疫情防控工作重要精神,為保證抗疫工作的順利進行,將採取三項措施。

來源:新浪科技
詳情連結: https://www.dbsec.cn/blog/news.html 

日本多家軍工企業曾遭網路攻擊 不確定是否有機密外洩

據日本共同社2月7日報導,有關防衛相關企業接連遭到網路攻擊,日本防衛省6日釋出新的訊息稱,2016至2018年度神戶制鋼所與航空測量巨頭PASCO曾遭到網路攻擊。這兩家公司也公佈了遭攻擊的事實,神戶制鋼承認包括防衛省相關資訊在內,共250份檔案可能外洩。據悉,防衛省指定的祕密資料沒有外洩。

來源:環球時報
詳情連結: https://www.dbsec.cn/blog/news.html 

FB 要求人臉識別公司 Clearview AI 停止採集使用者資料

Facebook 已經向人工智慧創業公司 Clearview AI 傳送了停止和終止函,要求其停止為執法目的而使用使用者影象來識別其身份。此前已有多家社交媒體發出同樣的函件。

來源:新浪科技
詳情連結: https://www.dbsec.cn/blog/news.html 

卡巴警告:9 部奧斯卡提名影片網路免費資源有坑、檢出大量惡意軟體

第 92 屆奧斯卡頒獎典禮將於 2 月 9 日在杜比劇院舉行,其中最受關注的無疑是最佳影片的角逐。卡巴斯基實驗室發現,不法分子們已經開始變著花樣蹭熱度了。通過對 9 部提名影片進行網路篩查,結果找出多達 20 家釣魚網站和 925 個惡意檔案。

來源:快科技
詳情連結: https://www.dbsec.cn/blog/news.html 

(資訊來源於網路,安華金和蒐集整理)

Chrome 增強下載防護功能 逐步淘汰不安全的非 HTTPS 連結

訂閱“Linux 中國”官方小程式來檢視

相關文章