Google更严格执行网页实行HTTPS加密的规定。周三Google宣布从今年12月的Chrome79开始,Chrome将逐步封锁HTTPS网页中,以HTTP下载的内容,包括影音及图片文件、iFrame等。
今年4月Google预告未来Chrome将默认封锁HTTPS网页中的HTTP下载内容,像是可执行文件及压缩文件。在最新的公告下,Google宣布这项方案即将于明年实施。
Google近年逐步要求网站管理员实行HTTPS网页加密,Google表示,现在Chrome用户超过90%的上网时间是花在HTTPS连线上。但是混合内容(mixed content)则成了漏网之鱼。虽然浏览器会默认封锁脚本程序和iFrame,但是仍然允许图片、声音和图片内容下载,这些就成了用户隐私和安全威胁,例如黑客可能篡改公司股价图误导投资人,或在这些内容注入关注行踪的cookies。此外,混合内容也会引发使用体验(UX)上的混淆,因为网站会显示为介于“安全”和“不安全”之间。
因此从12月发布的Chrome 79起,Google将逐步实施默认封锁混合内容。为了减少冲击,Chrome也会加入解除封锁、允许“特定”网站混合内容的设置。用户点入HTTPS://网页上的锁头图标,点入“网站设置”即可变更封锁设置。适用对象包括混合的脚本程序、iFrame及其他内容,而这也会取代原本PC机版Chrome在网址列右方使用的盾牌图标。
Chrome 80版本中,所有混合内容中的影音频将自动升级为HTTPS://。如果Chrome会自动将混合内容升级为HTTPS://,如果网站已经可由HTTPS://下载图片、影音内容,则网站就照常运行,否则就无法下载。不过用户还是可变更设置,来下载特定网站的影音内容。
Chrome 80还是允许以HTTP下载图片文件,但是Chrome会在网址列显示“不安全”的图标,借此驱使网站尽快升级到HTTPS。而从Chrome 81开始,Chrome也会将图片文件升级到HTTPS://,封锁HTTP://下载的图片文件。Chrome 80及81将分别于明年1月及2月,发布早期开发版本。
对于网站管理员及开发人员,Google也提供自我检查有无混合内容的工具,以及将服务器搬到HTTPS的方法。Google也提醒网站管理员利用CDN、网页主机及内容管理系统的工具来为网页内容调试,Cloudflare和WordPress都提供了相关资源。