Chrome发大招! HTTP网站全部拉入黑名单

824 阅读5分钟

7 月 24 号 Chrome 68发布会中,Google 引入了一项重大的变化。

自发布当日(7月24日)起,所有未加密的网站都会在地址栏上明确标记为“Not Secure”(不安全)。也就是说,如果你的网站没有采用HTTPS协议,当使用谷歌新版浏览器的用户访问网站时就会出现不安全提示。

当然,这是今年 5 月谷歌早就透露的新版 Chrome 的重要功能。当时,它还宣布,从 Chrome 69 开始(今年 9 月发布),如果网页缺乏安全防护,HTTP/HTTPS 页面上就只会显示“不安全”的标记了,而 HTTPS 网页上的“安全”标记则会被移除。

Chrome 浏览器已经堪比小型杀毒软件

Chrome 这一变可不要紧,许多网站的所有者可遭殃了,一旦被印上“不安全”的标记,恐怕他们得赔了夫人又折兵。值得注意的是,除了标识HTTP网站不安全外,谷歌还计划在Google搜索结果里降低HTTP网站的权重和排名,这对想要在搜索引擎中有排名的网站而言影响也非常大。

根据权威监测机构StatCounter今年5月发布的全球浏览器市场份额数据显示,谷歌Chrome浏览器目前在全球拥有58.09%的市场占有率,稳居第一。所以谷歌宣布新版浏览器中标记所有HTTP网站为不安全,对采用HTTP协议的网站来说影响很大。

目前国内大部分网站尤其是中小型网站仍然采用的是HTTP协议的网站。但HTTP协议本身是不具备加密的功能,无法保证客户的隐私信息的安全,同时有网站被篡改,流量被劫持等风险。因此,作为搜索引擎巨头的谷歌一直认为HTTP协议不安全,需要更安全的HTTPS协议来代替。

所谓的HTTPS协议,简单讲就是HTTP的安全版,只是在里面加入了SSL层,用于安全的HTTP数据传输,保证了网站用户的信息安全。

除了这个“不安全”标记,Chrome 68 还带来了不少炫酷的安全新功能。

Chrome 68 带来两大反恶意广告功能

在安全上,恐怕最亮眼的就是 Chrome 的全新恶意广告防御机制。

比如,Chrome 现在能拦截臭名昭著的 iframes(通常会嵌入在网页中)了,此前这种将上层页面重新定向到另一个 URL 的操作让用户深恶痛绝。其实谷歌从 Chrome 64 就开始逐渐应用这种机制了,不过在 Chrome 68 中才算全面上线。

当然,iframe 并没有被 Chrome 一巴掌拍死,如果用户愿意和它互动,它也可以对页面进行重新定向。不过整体来说,这一改变确实对拦截恶意广告起了巨大作用。

其次,Chrome 68 添加了全面的 tab-under 行为拦截功能。所谓的“ tab-under” 其实就是当用户点击一个链接,网站会在另一个标签页打开新的 URL,而老的标签页不但不关闭,还成了各种广告的集散地。最近几年来,tab-under 技术在互联网上泛滥成灾并成为一颗毒瘤。

去年谷歌首次公布了 tab-under 拦截功能,第一个拦截机制也随 Chrome 65 一同诞生。现在,随 Chrome 68 一同面世的则是正式版的拦截功能,浏览器每次进行拦截,都会在网页上警告用户。

Chrome 与 tab-under 行为的斗争

在另一个安全领域,Chrome 68 也实现了新的里程碑。一直以来,谷歌都试图阻止第三方软件(大多数为杀毒软件)在 Chrome 主进程中植入代码,而现在这项工作进入第二阶段了。

去年 11 月份谷歌曾解释称,Chrome 68 会开始拦截第三方软件在 Chrome 主进程中植入代码,如果拦截会造成 Chrome 无法启动,浏览器会重启并允许第三方软件启动,但还是会显示警告以指导用户移除该第三方软件。

雷锋网(公众号:雷锋网)了解到,明年 1 月份,谷歌更是会下狠手,彻底移除在 Chrome 中植入第三方代码的功能,并对这种行为进行彻底的封杀。

API 和网页开发端也有大变化

不过,新的 Chrome 68 可不是简单的修修补补并添加些安全功能的挤牙膏产品,新版浏览器的 API 和网络标准支持的升级工作也在稳步推进。

Chrome 68 最有趣的新增功能恐怕就是支持 Payment Handler API 了。这个新的 API 其实就是 Chrome 61 中出现的 Payment Request API 的小伙伴,有了它整个在线支付的过程会简化很多。

除此之外,谷歌还听取了开发者社群的反馈,专门修改了“添加到主屏幕”(Add to Home Screen)功能,将弹出功能的控制权下放给开发者。

当然,Chrome 68 中还新增了 Page Lifecycle API,未来该 API 将成为大多数网页开发者的必备功能之一。有了 Page Lifecycle API,开发者就能根据用户设备的“生命周期”(CPU、电池、浏览器标签页、前台/后台状态等都会开率在内)对网站进行微调,以提升用户体验。

如何接入HTTPS协议?

网站从HTTP协议升级为HTTPS协议,只需要到证书颁发机构CA申请SSL证书安全即可。SSL证书是一种数字证书,配置在网站服务器上。当成功安装上SSL安全证书后,浏览器的地址栏里出现的网站地址就会是“https”的前缀。


综合自:雷锋网、Solidot、知道创宇云安全