Google Chrome逐渐采取封锁HTTP网页内容的行动,今年2月Google预告从10月的Chrome 86起完全封锁不安全的混合内容,昨(17)日也宣布,将对于以HTTPS网页中不安全表单发送信息发出明显警告,甚至阻止行动。
Google所谓的混合内容(mixed content)是指在HTTPS网页下,却以HTTP协议发送的文本、影、音频或执行文件等。Chrome小组指出,从M86版起,若用户打算在HTTPS网站上的“混合表单”,即非以HTTPS发送信息的网页表单填写内容,Chrome将发出警告,因为混合表单对于用户隐私和安全构成风险,经由这些表单发送的信息可能被窃听,而让有心人读取,甚至变更敏感的表单内容。
虽然之前版本的Chrome已开始警告混合内容,但只有移除网址列上的安全锁头,但Chrome小组表示,他们发现这对用户来说并不明显,无法有效传达在混合表单输入消息的风险。
因此从Chrome 86起将加入更积极行为,包括混合表单上的autofill功能将关闭,用户着手输入时,就会看到表单下方显示红色的文本,警告表单不安全。用户要发送出去时更会看到全页式的警告消息,允许用户返回前页,或是按下确定发送(send anyway)的按钮。
不过在包含登录账号和密码提示的混合表单中,Chrome的密码管理器仍然会运行,协助用户输入不重复密码。Google说即使在不安全表单中,使用不重复密码,还是比同一密码多网站共享来得安全。
Google也鼓励网站开发商全面将Web表单转移到HTTPS协议,以提升用户防护。