Google更嚴格執行網頁實行HTTPS加密的規定。周三Google宣佈從今年12月的Chrome79開始,Chrome將逐步封鎖HTTPS網頁中,以HTTP下載的內容,包括影音及圖片檔、iFrame等。

今年4月Google預告未來Chrome將預設封鎖HTTPS網頁中的HTTP下載內容,像是可執行檔及壓縮檔。在最新的公告下,Google宣佈這項方案即將於明年實施。

Google近年逐步要求網站管理員實行HTTPS網頁加密,Google表示,現在Chrome用戶超過90%的上網時間是花在HTTPS連線上。但是混合內容(mixed content)則成了漏網之魚。雖然瀏覽器會預設封鎖腳本程式和iFrame,但是仍然允許圖片、聲音和影像內容下載,這些就成了用戶隱私和安全威脅,例如駭客可能竄改公司股價圖誤導投資人,或在這些內容注入追蹤行蹤的cookies。此外,混合內容也會引發使用經驗(UX)上的混淆,因為網站會顯示為介於「安全」和「不安全」之間。

因此從12月釋出的Chrome 79起,Google將逐步實施預設封鎖混合內容。為了減少衝擊,Chrome也會加入解除封鎖、允許「特定」網站混合內容的設定。使用者點入HTTPS://網頁上的鎖頭圖示,點入「網站設定」即可變更封鎖設定。適用對象包括混合的腳本程式、iFrame及其他內容,而這也會取代原本桌機版Chrome在網址列右方使用的盾牌圖示。

Chrome 80版本中,所有混合內容中的影音檔將自動升級為HTTPS://。如果網站已經可由HTTPS://下載圖片、影音內容,則網站就照常運作,否則就無法下載。不過使用者還是可變更設定,來下載特定網站的影音內容。

Chrome 80還是允許以HTTP下載圖片檔,但是Chrome會在網址列顯示「不安全」的圖示,藉此驅使網站儘速升級到HTTPS。而從Chrome 81開始,Chrome也會將圖片檔升級到HTTPS://,封鎖HTTP://下載的圖片檔。Chrome 80及81將分別於明年1月及2月,釋出早期開發版本。

對於網站管理員及開發人員,Google也提供自我檢查有無混合內容的工具,以及將伺服器搬到HTTPS的方法。Google也提醒網站管理員利用CDN、網頁主機及內容管理系統的工具來為網頁內容除錯,Cloudflare和WordPress都提供了相關資源。


Advertisement

更多 iThome相關內容