在未來的更新中,Google Chrome 將攻擊提供不提供標準安全保證的 HTTPS 頁面的網站。確實有許多採用 HTTPS 的網頁,但它們透過使用 HTTP 協定的腳本、映像和其他元件來載入不安全的內容。通常,這是為了用惡意程式碼欺騙網路使用者。
谷歌是發起競選活動的公司之一HTTPS 標準的大規模採用。今後, ”Chrome 用戶 90% 以上的瀏覽時間都花在使用該協議的頁面上」。但標準HTTPS 尚未提供絕對的安全保證,因為一些看似安全的頁面不斷透過HTTP協定載入資源。在 Chromium 部落格上發布的一份說明中,谷歌剛剛宣布了新措施來阻止出現這種所謂「混合內容」缺陷的網頁。
的實踐混合內容包括透過 HTTPS 頁面載入網站,同時包含可能危及網路使用者安全的 HTTP 內容。由於目前允許網頁從安全性和不安全頁面的混合池載入 Web 元件,因此攻擊者可以利用此缺陷注入惡意程式碼或負載包含惡意軟體的可下載內容正如Google一名員工幾個月前發給萬維網聯盟 (W3C) 成員的訊息中所解釋的那樣。
該公司剛剛提出了阻止這種現象的攻擊計劃。它將採取漸進的方法,系統地阻止所有類型的混合內容從 Chrome 81 開始預計在 2020 年 2 月至 4 月之間進行。為了增加靈活性,Chrome 79 將提供一個選項,允許用戶取消阻止他們認為值得信賴的某些頁面,之後將從 Chrome 80 開始逐步阻止其他類型的混合內容,預計將於 2020 年初開始。
來源 :Google
