在未来的更新中,Google Chrome 将攻击提供不提供标准安全保证的 HTTPS 页面的网站。确实有很多采用 HTTPS 的网页,但它们通过使用 HTTP 协议的脚本、图像和其他组件加载不安全的内容。通常,这是为了用恶意代码欺骗互联网用户。
谷歌是发起竞选活动的公司之一HTTPS 标准的大规模采用。今后, ”Chrome 用户 90% 以上的浏览时间都花在使用该协议的页面上”。但标准HTTPS 尚未提供绝对的安全保证,因为一些看似安全的页面不断通过HTTP协议加载资源。在 Chromium 博客上发布的一份说明中,谷歌刚刚宣布了新措施来阻止出现这种所谓“混合内容”缺陷的网页。
Google Chrome 攻击不安全的 HTTPS 页面
的实践混合内容包括通过 HTTPS 页面加载网站,同时包含可能危及互联网用户安全的 HTTP 内容。由于当前允许网页从安全和不安全页面的混合池加载 Web 组件,因此攻击者可以利用此缺陷注入恶意代码或负载包含恶意软件的可下载内容正如谷歌一名员工几个月前发给万维网联盟 (W3C) 成员的消息中所解释的那样。
该公司刚刚提出了阻止这种现象的攻击计划。它将采取渐进的方法,系统地阻止所有类型的混合内容从 Chrome 81 开始预计在 2020 年 2 月至 4 月之间进行。值得注意的是,Google 已经默认阻止某些脚本和 iframe 内容。为了增加灵活性,Chrome 79 将提供一个选项,允许用户取消阻止他们认为值得信赖的某些页面,之后将从 Chrome 80 开始逐步阻止其他类型的混合内容,预计将于 2020 年初开始。
来源 :谷歌
