Google將進一步打擊「混合內容」帶來的資安疑慮

 

在Google與其他瀏覽器的努力下,如今近90%的網路資訊交換是透過HTTPS安全協定來傳輸的,這是相當正面的訊號,但在這樂觀表象之下,卻存在其他隱患。

 

Google在10/3當天,於他們的官方部落格PO出一重磅消息,他們預計在12月推出的Chrome 79中,開始考慮封鎖「隱藏於HTTPS頁面中的HTTP下載內容」,包括一般執行檔、壓縮檔、圖片、影音及iFrame內容,為的是打擊混和內容(Mixed Content)帶來的隱憂,相關措施更將在Chrome 80進一步強化。

 

什麼意思呢?

 

有心人士將不安全的連結隱藏在看似安全的網站內,讓用戶失去戒心的點擊連結或參與網站互動,進而再次引發資安疑慮,雖然多數瀏覽器預設封鎖iFrame或其他腳本,但影音資訊或圖片則不在限制內,此漏洞讓網站變成「看似安全卻又不安全」的環境。

 

未來假設你的網站使用HTTPS安全協定,也就是已建置SSL憑證,卻在頁面中分享使用「HTTPS未加密協定」來下載的內容,用戶將無法正常使用。

 

身為網站管理者的你先不用太過擔心,Google提供了檢查網站混和內容及進行調整的小訣竅,若擔心網站不慎踩到地雷,可先自行檢測看看。

google_mixed_content圖片來源 : developers.google.com