今年4月Google预告未来Chrome将预设封锁HTTPS网页中的HTTP下载内容,像是可执行文件及压缩文件。在最新的公告下,Google宣布这项方案即将于明年实施。
Google近年逐步要求网站管理员实行HTTPS网页加密,Google表示,现在Chrome用户超过90%的上网时间是花在HTTPS连线上。但是混合内容(mixed content)则成了漏网之鱼。虽然浏览器会预设封锁脚本程序和iFrame,但是仍然允许图片、声音和视频内容下载,这些就成了用户隐私和安全威胁,例如骇客可能篡改公司股价图误导投资人,或在这些内容注入追踪行踪的cookies。此外,混合内容也会引发使用经验(UX)上的混淆,因为网站会显示为介于“安全”和“不安全”之间。
因此从12月释出的Chrome 79起,Google将逐步实施预设封锁混合内容。为了减少冲击,Chrome也会加入解除封锁、允许“特定”网站混合内容的设定。使用者点入HTTPS://网页上的锁头图示,点入“网站设定”即可变更封锁设定。适用对象包括混合的脚本程序、iFrame及其他内容,而这也会取代原本PC版Chrome在网址栏右方使用的盾牌图示。
Chrome 80版本中,所有混合内容中的影音文件将自动升级为HTTPS://。如果网站已经可由HTTPS://下载图片、影音内容,则网站就照常运作,否则就无法下载。不过使用者还是可变更设定,来下载特定网站的影音内容。
Chrome 80还是允许以HTTP下载图片文件,但是Chrome会在网址列显示“不安全”的图示,借此驱使网站尽速升级到HTTPS。而从Chrome 81开始,Chrome也会将图片文件升级到HTTPS://,封锁HTTP://下载。Chrome 80及81将分别于明年1月及2月,释出早期开发版本。
对于网站管理员及开发人员,Google也提供自我检查有无混合内容的工具,以及将服务器搬到HTTPS的方法。Google也提醒网站管理员利用CDN、网页主机及内容管理系统的工具来为网页内容除错,而Cloudflare和WordPress都提供了相关资源。