Chrome 安全小组近日在一篇博客文章中表示,计划使 https:// 页面不再加载
HTTP
子资源。

澳门葡萄京官方网站 1

问:你如何看待,谷歌Chrome不再允许HTTP资源,自动升级HTTP为HTTPS?
作为现在互联网应用做广泛的网络协议,HTTP和HTTPS成为了大多数的建网者的选择。而HTTPS具有更高的安全性,这也让它则成为了企业公司官方最为钟爱的一种网络协议。

澳门葡萄京官方网站 2

Chrome 80 稳定版已正式面向 Windows、macOS、Linux、Android 和 iOS
全平台推送,相信手快的朋友已经用上此版本,不过这并不影响我们了解 Chrome
80 的重要更新内容。

澳门葡萄京官方网站 3

根据 Google 的说法,Chrome 用户现在在所有主要平台上的 HTTPS 上花费了
90% 以上的浏览时间。但是,那些安全页面加载不安全的 HTTP
子资源却是很常见的。这些子资源中的许多默认情况下都是被阻止的,但有些会作为图像、音频和视频或“混合内容”潜入,混合内容可能会使用户面临风险,比如脚本、iframe
与媒体文件。

Chrome 80
是一个具有里程碑意义的版本,因为此版本对浏览器的操作方式进行了两项重大更改,这些变化将在未来几年内给用户带去深远的影响。

在谷歌浏览器发表的一份声明表示,谷歌计划在浏览器中将执行

从今年 12 月开始测试的 Chrome 79 开始,Chrome
将会逐步阻止所有混合内容。到 2020 年 1 月,Chrome 80
会将所有混合音频和视频资源自动升级为 HTTPS,如果无法通过 HTTPS
加载,则将自动被阻止。最终,在 2020 年 2 月,Chrome 81
将所有混合图像、音频与视频自动升级为 HTTPS,并且阻止那些无法通过 HTTPS
加载的图像。

Chrome 80 值得关注的主要更新如下:

这是谷歌团队自发表声明后表示,谷歌浏览器将从今年末开始测试,在以后发布的谷歌浏览器产品上,将不再有HTTP页面混合内容,这样做,会使所有在浏览器中混合的音频还有视频资源升级为HTTPS,如果未进行升级的内容,将会被谷歌阻止加载,或者被浏览器进行显示警告提示。

同时,Chrome 79
中还将添加一个新设置项,用户可以用来取消阻止特定站点上的混合内容。

引入全新的 cookie 分类模型
SameSite静默通知将所有混合音频和视频资源自动升级为 HTTPS移除对 FTP
的支持标签分组,每组可配置个性化颜色支持 SVG
格式的图像,进一步降低站点资源占用上线联系人选取和内容索引 APIcookie
策略调整:引入 SameSite cookie

那为什么要把浏览器协议升级为HTTPS呢?我想,这可能与HTTP协议的控制的字节有关,在谷歌搜索中,用户访问网站使用的HTTPS协议占用了多半,除了这些之外,还有一些子资源,有些内容是被浏览器禁止的,但是,这里还会有部分内容会被混入,这些内容的混入可能会导致用户面临很大的风险,这样会使浏览器存在安全问题,所以谷歌会对这些存在安全漏洞的网站进行升级。

这样的过渡使开发人员有时间将其混合内容迁移到 HTTPS 上。

在 Chrome 80 中,Chrome 会将没有声明 SameSite 值的 cookie
默认设置为SameSite=Lax。只有采用SameSite=None; Secure设置的 cookie
可以从外部访问,前提是通过安全连接访问。

从搜索字节的角度解读这次升级

类似的措施,此前我们报导过,谷歌 Chrome 工程师 Emily Stark 已经在 W3C
邮件列表上提出,计划在 HTTPS 网站上默认禁止一些通过 HTTP
下载的行为,当涉及到下载 EXE、DMG(Mac 应用二进制文件)、CRX(Chrome
扩展包) 与诸如 ZIP、GZIP、BZIP、TAR、RAR 和 7Z
等主流压缩/打包文件时,浏览器将阻止下载。默认阻止下载的这些文件类型被认为是“高风险”的,因为它们最有可能被滥用来隐藏恶意程序。

这个处理 cookie
文件方式的变化就是本次更新的第一项重大更改,它将改变以往用户隐私被滥用的现象,保证仅能通过
HTTPS 连接访问跨站 cookie。除了直接的安全优势外,明确声明跨站 cookie
还能提高透明度和用户选择。例如,浏览器可以为用户提供管理 cookie
时的精细控制,将仅可以在单个网站访问的 cookie 与可以在多个网站访问的
cookie 分开。

由于http协议下的网站地址,头部较长,在日常生活中如果发送一个大点的文件的话,这个头部是这么长,但是小文件也是一样长,这样的话,导致地址资源的数据源的浪费,所以要对其进行头部压缩,以保证在小资源的环境下可以进行快速的传输,所以说这一点还是比较好的。

其实早在 Chrome 51 中就已首次引入 SamSite
Cookie,其设计为用来阻止伪造的跨站点 Cookie 请求。

点此测试你的浏览器是否支持新的 Cookie 策略。

静默通知

Chrome 80
引入更安静的消息通知机制就是本次更新的第二项重大更改。简单描述此机制就是,网页请求发送通知权限时,横幅或者弹窗通知会以更安静、更低调的方式呈现,而不再像原来那样在网页中间或顶部/底部占用空间。

“更安静的通知”在 PC 设备和移动设备上均可用。不过有趣的是,Chrome
在首次向用户展示该功能时,会在产品内显示一个帮助对话框。

将所有混合音频和视频资源自动升级为 HTTPS

根据 Google 的说法,Chrome 用户现在在所有主要平台上的 HTTPS 上花费了
90% 以上的浏览时间。但是,那些安全页面加载不安全的 HTTP
子资源却是很常见的。这些子资源中的许多默认情况下都是被阻止的,但有些会作为图像、音频和视频或“混合内容”潜入,混合内容可能会使用户面临风险,比如脚本、iframe
与媒体文件。

因此从 Chrome 79 开始,Chrome
已开始逐步阻止所有混合内容,并添加了一个新设置项,用户可以用来取消阻止特定站点上的混合内容。

到了最新发布的 Chrome 80,它将所有混合音频和视频资源自动升级为
HTTPS,如果无法通过 HTTPS
加载,浏览器虽然允许加载混合图像,但会将页面标记为“Not Secure”。

最终在 Chrome 81 中会将所有混合图像、音频与视频自动升级为
HTTPS,并且阻止那些无法通过 HTTPS 加载的图像。

移除对 FTP 的支持

从 Chrome 80 开始不再支持 FTP,默认情况下,它对非企业客户端禁用了 FTP
支持。按照计划,到了 Chrome 82 将会删除 FTP 相关代码和资源。

联系人选取和内容索引 API