Google 正在推广 HTTPS

阅读数:2272 2016 年 12 月 19 日

Google 已将现有 Chrome 特性在非安全站点上禁用,同时新的特性将只支持 HTTPS,意在推进HTTPS 的普及。Chrome 浏览器自50 版本以后已禁止通过HTTP 做地理定位和使用 getUserMedia 功能(该功能可访问用户的摄像头或话筒),并即将实施对加密媒体扩展应用缓存、设备移动/ 方向检测等特性的限制。该做法的合理之处在于,所有这些特性都涉及敏感数据,如没有采用HTTPS,这些敏感数据在传输时将会曝露于易受攻击的Web 环境当中。禁用其余特性的时间表依然处于讨论中

同样,一些最新的特性也可能受到攻击,它们将只支持 HTTPS。例如 Service Workers Push Notifications 和向手机桌面添加网站快捷方式(所有这些功能源自原生的移动应用,现被广泛应用于 Progressive Web Apps 中)。此外还包括信用卡信息的自动填充和最新推出的支付请求API

除了上述开发者特性,Google 还尝试通过改进浏览体验提升安全意识。例如,如果页面中包含了不安全的表单,使用了“非安全”的字符串来请求金融或敏感信息,Chrome 将会给出明确的提示信息(这是56 版本的功能,计划于2017 年1 月推出)。有兴趣的组织可以通过设置 Chrome Canary 版的#mark-non-secure-as 标识预览用户界面上所发生的变化。

最近一些进展让 HTTPS 的迁移变得很顺畅。最近在阿姆斯特丹召开的第一届O'Reilly 安全大会上,Google Chrome 安全产品经理 Emily Schechter 演讲中高度评价了 Let's Encrypt CloudFlare 最新提供的服务的重要性。Let's Encrypt 使用赞助和众筹模式提供免费证书以及自动安装程序(其重要性如今在DevOps 领域与日俱增),这种模式得到著名的Coding Horror 博主Jeff Atwood 的大力支持。CloudFlare 是一家 CDN 提供商,现在提供了免费的SSL 链接,让更多的人用得起。

总而言之,Schechter 的演讲给出了十分真实的 HTTPS 业务案例,强调 HTTPS 是所有网站的最低安全等级,并提供证据表明大部分 HTTPS 的传统挑战已不再适用。

一些组织已接受建议迁移到 HTTPS,其中包括卫报 BBC ,这在某种程度上可归因于 Google 的推动。Schechter 在演讲中还引用了其它的成功案例,例如 Housing.com AliExpress ,HTTPS 不仅改进了安全性,而且基于使用仅支持 HTTPS 的特性,切实地提高了用户转化率(还应考虑到 Google 的 SEO 算法将优先对待 HTTPS 内容)。

Chrome Firefox 所给出的数据都表明,现在全世界范围内超过一半的网页采用了 HTTPS。

查看英文原文: Google Pushing for HTTPS


感谢薛命灯对本文的审校。

给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

收藏

评论

微博

发表评论

注册/登录 InfoQ 发表评论