Chrome 增强下载防护功能 逐步淘汰不安全的非 HTTPS 链接

谷歌安全博客发文称,为了增强下载防护体验,Chrome 浏览器将开始阻止非“安全超文本传输协议”的混合内容下载。作为去年宣布的一项计划的延续,Chrome 将开始阻止“安全页面”上的所有“非安全子资源”的接触。鉴于不安全的文件下载会威胁到用户的安全与隐私,此事确实值得推进。

比如,攻击者可拦截不安全的下载地址,将程序替换成恶意软件、甚至访问更多的敏感信息。为管控这些风险,谷歌最终还是决定取消对不安全下载的支持。

初期,Chrome 将屏蔽始于安全页面的不安全下载。这种情况尤其让人担忧,因为 Chrome 当前无法向用户表明其隐私和安全受到威胁。

从 2020 年 4 月的 Chrome 82 开始,谷歌浏览器将逐步放出警告、直至最终阻止这类混合内瓤的下载。

对用户构成最大风险的文件类型(可执行文件)将首先受到影响,后续版本将覆盖更多的文件类型。

逐步推出的目的,旨在快速缓解最严重的风险,为开发人员提供更新其网站的缓冲时间,并最大程度地减少 Chrome 用户必须看到的警告数量。

谷歌计划首先在 Windows、macOS、Chrome OS 和 Linux 桌面平台上推出对混合内容下载的限制,下面是 Chrome 团队的计划安排:

Chrome 增强下载防护功能 逐步淘汰不安全的非 HTTPS 链接

  • Chrome 81(2020 年 3 月):浏览器会蹦出一条控制台消息,警告所有混合内容的下载;
  • Chrome 82(2020 年 4 月):浏览器将警告(.exe 等可执行文件)的混合内容下载;
  • Chrome 83(2020 年 6 月):警告 .zip 档案和 .iso 磁盘映像混合内容的下载;
  • Chrome 84(2020 年 8 月):警告除图片、音视频、文本之外的混合内容的下载;
  • Chrome 85(2020 年 9 月):警告图像、音视频和文本类混合内容的下载;
  • Chrome 86(2020 年 10 月):阻止所有类型混合内容的下载。

至于 Android 和 iOS 移动平台,谷歌会将相关政策推迟一个版本,从 Chrome 83 开始发出警告。

鉴于移动平台具有更好的抵御恶意文件的本机防护功能,留出的时间差,使得开发者有机会在用户遇到问题前,对自家移动网站进行更新。

此外在当前版本的 Chrome Canary 或 Chrome 81 中,开发者可启用“将不安全的连接视作危险的混合内容下载”来激活相关警告。

chrome://flags/#treat-unsafe-downloads-as-active-content

企业和教育客户可通过现有的每个站点来阻止,在 InsecureContentAllowedForUrls 中添加与请求下载页面匹配的模式来实施相关策略。

来源:cnBeta.COM

更多资讯

CNNIC 将采取多项措施做好疫情期间网络基础保障工作

2月7日下午消息,中国互联网络信息中心(CNNIC)发文称坚决贯彻落实中央关于疫情防控工作重要精神,为保证抗疫工作的顺利进行,将采取三项措施。

来源:新浪科技
详情链接: https://www.dbsec.cn/blog/news.html 

日本多家军工企业曾遭网络攻击 不确定是否有机密外泄

据日本共同社2月7日报道,有关防卫相关企业接连遭到网络攻击,日本防卫省6日发布新的消息称,2016至2018年度神户制钢所与航空测量巨头PASCO曾遭到网络攻击。这两家公司也公布了遭攻击的事实,神户制钢承认包括防卫省相关信息在内,共250份文件可能外泄。据悉,防卫省指定的秘密资料没有外泄。

来源:环球时报
详情链接: https://www.dbsec.cn/blog/news.html 

FB 要求人脸识别公司 Clearview AI 停止采集用户数据

Facebook 已经向人工智能创业公司 Clearview AI 发送了停止和终止函,要求其停止为执法目的而使用用户图像来识别其身份。此前已有多家社交媒体发出同样的函件。

来源:新浪科技
详情链接: https://www.dbsec.cn/blog/news.html 

卡巴警告:9 部奥斯卡提名影片网络免费资源有坑、检出大量恶意软件

第 92 届奥斯卡颁奖典礼将于 2 月 9 日在杜比剧院举行,其中最受关注的无疑是最佳影片的角逐。卡巴斯基实验室发现,不法分子们已经开始变着花样蹭热度了。通过对 9 部提名影片进行网络筛查,结果找出多达 20 家钓鱼网站和 925 个恶意文件。

来源:快科技
详情链接: https://www.dbsec.cn/blog/news.html 

(信息来源于网络,安华金和搜集整理)

Chrome 增强下载防护功能 逐步淘汰不安全的非 HTTPS 链接

原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/industrynews/51507.html

(0)
上一篇 2021年8月6日 09:59
下一篇 2021年8月6日 10:00

相关推荐

发表回复

登录后才能评论