近日，谷歌安全博客發(fā)文稱，為了增強下載防護體驗，Chrome 瀏覽器將開始阻止非安全超文本傳輸協(xié)議的混合內(nèi)容下載。作為去年宣布的一項計劃的

近日，谷歌安全博客發(fā)文稱，為了增強下載防護體驗，Chrome 瀏覽器將開始阻止非“安全超文本傳輸協(xié)議”的混合內(nèi)容下載。作為去年宣布的一項計劃的延續(xù)，Chrome 將開始阻止“安全頁面”上的所有“非安全子資源”的接觸。鑒于不安全的文件下載會威脅到用戶的安全與隱私，此事確實值得推進。

(來自：Google Security Blog)

比如，攻擊者可攔截不安全的下載地址，將程序替換成惡意軟件、甚至訪問更多的敏感信息。為管控這些風險，谷歌最終還是決定取消對不安全下載的支持。

初期，Chrome 將屏蔽始于安全頁面的不安全下載。這種情況尤其讓人擔憂，因為 Chrome 當前無法向用戶表明其隱私和安全受到威脅。

從 2020 年 4 月的 Chrome 82 開始，谷歌瀏覽器將逐步放出警告、直至最終阻止這類混合內(nèi)瓤的下載。

對用戶構(gòu)成最大風險的文件類型(可執(zhí)行文件)將首先受到影響，后續(xù)版本將覆蓋更多的文件類型。

逐步推出的目的，旨在快速緩解最嚴重的風險，為開發(fā)人員提供更新其網(wǎng)站的緩沖時間，并最大程度地減少 Chrome 用戶必須看到的警告數(shù)量。

谷歌計劃首先在 Windows、macOS、Chrome OS 和 Linux 桌面平臺上推出對混合內(nèi)容下載的限制，下面是 Chrome 團隊的計劃安排：

Chrome 81(2020 年 3 月)：瀏覽器會蹦出一條控制臺消息，警告所有混合內(nèi)容的下載;

Chrome 82(2020 年 4 月)：瀏覽器將警告(.exe 等可執(zhí)行文件)的混合內(nèi)容下載;

Chrome 83(2020 年 6 月)：警告 .zip 檔案和 .iso 磁盤映像混合內(nèi)容的下載;

Chrome 84(2020 年 8 月)：警告除圖片、音視頻、文本之外的混合內(nèi)容的下載;

Chrome 85(2020 年 9 月)：警告圖像、音視頻和文本類混合內(nèi)容的下載;

Chrome 86(2020 年 10 月)：阻止所有類型混合內(nèi)容的下載。

至于 Android 和 iOS 移動平臺，谷歌會將相關(guān)政策推遲一個版本，從 Chrome 83 開始發(fā)出警告。

鑒于移動平臺具有更好的抵御惡意文件的本機防護功能，留出的時間差，使得開發(fā)者有機會在用戶遇到問題前，對自家移動網(wǎng)站進行更新。

此外在當前版本的 Chrome Canary 或 Chrome 81 中，開發(fā)者可啟用“將不安全的連接視作危險的混合內(nèi)容下載”來激活相關(guān)警告。

chrome://flags/#treat-unsafe-downloads-as-active-content

企業(yè)和教育客戶可通過現(xiàn)有的每個站點來阻止，在 InsecureContentAllowedForUrls 中添加與請求下載頁面匹配的模式來實施相關(guān)策略。

關(guān)鍵詞： Chrome 非安全超文本傳輸協(xié)議