圖片來源: Google
Google 宣佈未來的Chrome版本,可能將預設封鎖HTTPS網頁等安全環境提供的HTTP下載,像是可執行檔及壓縮檔案。
Google Chrome工程師Emily Stark以電子郵件告知W3C Web app安全工作小組指出,Chrome團隊想要在相容以及使用者方便性與安全性之間取得平衡,因此將把在安全環境下(如HTTPS網頁)執行的部份高風險檔案下載視為可疑內容(mixed content),而將之封鎖。至於是何種「高風險」下載,Google目前還在做最後的決定,可能是執行檔及壓縮檔,包括EXE、DMG(Mac壓縮映像檔)、CRX(Chrome 擴充套件)、以及所有主要壓縮檔格式如ZIP、GZIP、BZIP、TAR、RAR和7Z等。
這次措施應只涉及桌機版本,因為Android及Google Play的安全上網(Safe Browsing)已經提供用戶防護。此外,不安全環境下執行的不安全下載,目前也不在Chrome的預設封鎖規畫中,因為Chrome已在網址列顯示「不安全」的標示,可提供一定程度的警告。
Google也邀請其他瀏覽器業者加入他們,實作類似的機制。
線