Chrome 将不再允许 https:// 页面加载 HTTP 资源-低调大师

Chrome 将不再允许 https:// 页面加载 HTTP 资源

2019-10-05 744

Chrome 安全小组近日在一篇博客文章中表示，计划使 https:// 页面不再加载 HTTP 子资源。

根据 Google 的说法，Chrome 用户现在在所有主要平台上的 HTTPS 上花费了 90％以上的浏览时间。但是，那些安全页面加载不安全的 HTTP 子资源却是很常见的。这些子资源中的许多默认情况下都是被阻止的，但有些会作为图像、音频和视频或“混合内容”潜入，混合内容可能会使用户面临风险，比如脚本、iframe 与媒体文件。

从今年 12 月开始测试的 Chrome 79 开始，Chrome 将会逐步阻止所有混合内容。到 2020 年 1 月，Chrome 80 会将所有混合音频和视频资源自动升级为 HTTPS，如果无法通过 HTTPS 加载，则将自动被阻止。最终，在 2020 年 2 月，Chrome 81 将所有混合图像、音频与视频自动升级为 HTTPS，并且阻止那些无法通过 HTTPS 加载的图像。

同时，Chrome 79 中还将添加一个新设置项，用户可以用来取消阻止特定站点上的混合内容。

这样的过渡使开发人员有时间将其混合内容迁移到 HTTPS 上。

类似的措施，此前我们报导过，谷歌 Chrome 工程师 Emily Stark 已经在 W3C 邮件列表上提出，计划在 HTTPS 网站上默认禁止一些通过 HTTP 下载的行为，当涉及到下载 EXE、DMG（Mac 应用二进制文件）、CRX（Chrome 扩展包）与诸如 ZIP、GZIP、BZIP、TAR、RAR 和 7Z 等主流压缩/打包文件时，浏览器将阻止下载。默认阻止下载的这些文件类型被认为是“高风险”的，因为它们最有可能被滥用来隐藏恶意程序。

微信关注我们

原文链接：https://www.oschina.net/news/110345/chrome-to-block-http-in-https

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

攻击者宣称可利用新漏洞完全控制 Android 手机

谷歌 ProjectZero 研究小组（ProjectZero Research Group）一名成员周四晚表示，攻击者正在利用谷歌Android移动操作系统中的 0 day 漏洞，使他们完全控制至少18种不同手机，包括4种不同型号的谷歌Pixel手机。 ProjectZero项目成员Maddie Stone在帖子中说，有证据表明漏洞利用者NSO Group或其客户之一正在积极利用该漏洞。漏洞利用几乎不需要定制即可完全扎根易受攻击的手机。可以通过两种方式利用此漏洞：（1）当目标安装不受信任的应用程序时，（2）通过将此漏洞与针对Chrome浏览器用于呈现内容代码的漏洞攻击结合使用。 Maddie Stone表示，该漏洞是一个本地特权提升漏洞，它可以完全破坏易受攻击的设备，受此漏洞影响的设备如下： Pixel 1 Pixel 1 XL Pixel 2 Pixel 2 XL 华为 P20 红米5A 红米 Note 5 小米A1 Oppo A3 Moto Z3 OreoLGphones 三星 S7 三星 S8 三星 S9 谷歌Android团队表示，谷歌10月Android安全更新将修补此...

2019-10-05

702

回顾一周社区热门资讯第【四十二】期：20190928-20191004 点击相应标题，跳转阅读全文。华为、OPPO、一加、realme 完成统一推送服务开发按照联盟公布时间表，联盟计划于 2019 年底前推动国内主流厂商支持统一推送标准。这将极大提升我国消费者的手机使用下的使用体验，减少开发者对于推送服务接入成本。 iOS 设备存在永久性的不可修复漏洞，iPhone X 及以下型号均受影响由于 bootrom 漏洞是硬件级别的问题，如果没有硬件修订版就无法修补，因此简单的软件更新无法解决这一漏洞。攻击范围涵盖使用 A5 至 A11 系列处理器的所有 iPhone 和 iPad，也就是说从 iPhone 4S 到 iPhone X。 GNOME 基金会收到专利诉讼，涉及相片管理器 Shotwell Shotwell是一款 Linux 下的相片管理软件，适用于 GNOME 桌面环境，可以使用它从数码相机中导入相片，然后进行编辑并进行分享。 Rust 1.38 稳定版发布微软意图将新版 Edge 浏览器引入 Linux 微软网络技术程序经理 Sean Larson 在 Twitte...

2019-10-06

883

资源下载

更多资源

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。