用技術解決體驗問題:Chrome 43將取消地址欄中的“黃色小三角”警告
責編:admin |2015-04-21 10:13:07有些時候你會發現,在Google Chrome瀏覽器的地址欄前會出現“黃色小三角”警告——你正在瀏覽的HTTPS網站包含第三方的內容。這種安全提示雖然有必要,但用戶體驗的確不怎么樣。好在Google總有辦法,他們將在最新版本Chrome中用技術解決這一產品體驗問題。
什么是混合內容?
如果你的網站傳輸數據使用的是HTTPS協議,但它在加載如圖像之類的內容時,通過的卻是HTTP非安全協議,我們就認為你的網站只有部分加密連接。
這種只有部分加密的通信手段,其中的未加密HTTP內容可能會被黑客通過各種手段進行篡改。黑客通過中間人(MITM)攻擊就可以進行種種操作。而上述這樣存在風險的網頁稱為混合內容頁面。
升級不安全資源
對于市場份額愈加擴大的Google Chrome瀏覽器,下一個發布的Chrome 43會更加安全。現在Google Chrome瀏覽器中如果存在HTTPS網站有未加密的HTTP資源,也就是上文所說的混合內容網頁,會出現一個“黃色小三角”警告標志。而采用了新技術后的Chrome 43,則不再加上警告標志,直接通過技術手段解決非安全瀏覽的隱患。
Chrome 43現在還是測試版本,在五月份會發布正式版,它在里面可能不會標記任何混合內容頁面有關的警告。這得感謝新版瀏覽器遵循的內容安全策略(CSP),Chrome會直接升級不安全的資源。
Google公司表示:由于檢查混合內容并不簡單,所以在下一個版本的Chrome瀏覽器會引入新技術。這次升級不安全資源意味著,Chrome瀏覽器會在每次取得網絡數據之前,把不安全的資源的傳輸升級為HTTPS級別。
如何提升為HTTPS級別
如果你是網站管理員或者開發者,能控制HTTP包的內容的話,你可以在響應頭里加上:
Content-Security-Policy: upgrade-insecure-requests
如果該不安全的資源是不可控的,是別人的網站,你就可以在你瀏覽的網頁里的<head>標簽里加上:
<meta http-equiv=”Content-Security-Policy” content=”upgrade-insecure-requests”>
Google公司介紹了一些特性:
黃色三角警示符
現在Google瀏覽器提供給開發人員和系統管理員的暫時性安全手段,即在用戶瀏覽帶有混合內容的網頁時,地址欄會出現一個帶鎖的黃色三角警示符號。用戶看到后,可以自行決定是否要關掉這個不安全的網頁。
不僅如此,Google還宣布將在六月底將自己的廣告平臺用HTTPS加密,保護普通用戶的隱私和安全。
轉自FreeBuf黑客與極客(FreeBuf.COM)