Google本週宣佈從今年12月的Chrome79開始,Chrome將逐步封鎖HTTPS網頁中,使用HTTP協議下載的內容,包括影音、圖片文件、iFrame等。
今年4月Google預告未來Chrome將預設封鎖HTTPS網頁中的HTTP下載內容,像是可執行文件及壓縮文件。在最新的公告下,Google宣佈這項方案即將於明年實施。
Google近年逐步要求
企業網站管理員實行HTTPS網頁加密,Google表示,現在Chrome用戶超過90%的上網時間是花在HTTPS連線上。但是混合內容(mixed content)則成了漏網之魚。雖然瀏覽器會預設封鎖腳本程序和iFrame,但是仍然允許圖片、聲音和視頻內容下載,這些就成了用戶隱私和安全威脅,例如駭客可能篡改公司股價圖誤導投資人,或在這些內容注入追蹤行蹤的cookies。此外,混合內容也會引發使用經驗(UX)上的混淆,因爲
網站會顯示爲介於“安全”和“不安全”之間。
因此從12月釋出的Chrome 79起,Google將逐步實施預設封鎖混合內容。爲了減少衝擊,Chrome也會加入解除封鎖、允許“特定”網站混合內容的設定。使用者點入HTTPS://網頁上的鎖頭圖示,點入“網站設定”即可變更封鎖設定。適用對象包括混合的腳本程序、iFrame及其他內容,而這也會取代原本PC版Chrome在網址欄右方使用的盾牌圖示。
Chrome 80版本中,所有混合內容中的影音文件將自動升級爲HTTPS://。如果網站已經可由HTTPS://下載圖片、影音內容,則網站就照常運作,否則就無法下載。不過使用者還是可變更設定,來下載特定
網站的影音內容。
Chrome 80還是允許以HTTP下載圖片文件,但是Chrome會在網址列顯示“不安全”的圖示,藉此驅使網站儘速升級到HTTPS。而從Chrome 81開始,Chrome也會將圖片文件升級到HTTPS://,封鎖HTTP://下載。Chrome 80及81將分別於明年1月及2月,釋出早期開發版本。
對於
企業網站管理員及開發人員,Google也提供自我檢查有無混合內容的工具,以及將服務器搬到HTTPS的方法。Google也提醒
企業網站管理員利用CDN、網頁主機及內容管理系統的工具來爲網頁內容除錯,而Cloudflare和WordPress都提供了相關資源。