Chrome 和 Firefox 即将开始在不安全的网站显示警告信息

  • David Iffland
  • 刘嘉洋

2017 年 2 月 7 日

话题:ChromeHTML5语言 & 开发

Google 和 Firefox 的网络浏览器即将更新,之后用户在浏览不安全的网站时将会收到警告信息。2017 年 1 月发布的 Chrome 56 和 Firefox 51 将成为提供警告信息的首个常规版本。

Google多次发出公告,从 Chrome 56 版本开始,如果用户访问需要输入密码或信用卡信息的非 HTTPS 网站,会在 URL 栏显示这是不安全网站的警告。首个版本提供的警告信息比较小,可能用户不仔细看就不会注意到,但是后面的版本中将逐步加强警告。

图片来源:https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

在文章中,他们指出目前网站显示的内容可能会给用户带来安全性错觉:

Chrome 目前中立地提示 HTTP 连接,但这并没有正确反映出 HTTP 连接缺乏安全性。当你通过 HTTP 加载网站时,网络上的其他人可以在页面加载出来之前查看或修改网站内容。

这和目前 Chrome 在使用 HTTPS 的网站旁边显示“安全”提示的方式比较相似。

Mozilla 安全工程师 Tanvi Vyas,仅仅通过 HTTPS 提交表单是不够的:

我们收到了很多这个问题。尽管通过 HTTPS 而不是 HTTP 进行传输可以防止网络窃听者看到用户的密码,但它不能阻止活动的 MITM 攻击者从不安全的 HTTP 页面上提取密码。攻击者可以获取网站给用户提供的 HTML 内容,并将窃取用户的用户名和密码的 javascript 代码添加到 HTML 页面中。

Google 提供了一个页面,协助开发人员获得不安全的警告信息,包括下载最新版本的Chrome Canary来测试他们的网站。

Chrome 只允许通过 HTTPS 提供的含有密码和信用卡信息输入字段的网站可以不显示警告信息。如果表单字段在 iframe 中,那么整个框架和顶级页面都需要通过 HTTPS 保护。在之后的版本(待确定)中,Chrome 会将即使没有密码和信用卡信息输入字段的非 HTTPS 的网站也都标记为“不安全”。希望开发人员和网站所有者能设法消除这个警告信息,并通过 HTTPS 提供所有网页。以后的警告将会更加显眼,会用红色的文字显示不安全信息。

图片来源:https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

查看英文原文Chrome and Firefox Start Warning of Insecure Sites

ChromeHTML5语言 & 开发