Google Chrome逐漸採取封鎖HTTP網頁內容的行動,今年2月Google預告從10月的Chrome 86起完全封鎖不安全的混合內容,昨(17)日也宣佈,將對於以HTTPS網頁中不安全表單傳送資訊發出明顯警告,甚至阻止行動。
Google所謂的混合內容(mixed content)是指在HTTPS網頁下,卻以HTTP協定傳送的文字、影、音檔或執行檔等。Chrome小組指出,從M86版起,若使用者打算在HTTPS網站上的「混合表單」,即非以HTTPS傳送資訊的網頁表單填寫內容,Chrome將發出警告,因為混合表單對於使用者隱私和安全構成風險,經由這些表單傳送的資訊可能被竊聽,而讓有心人士讀取,甚至變更敏感的表單內容。
雖然之前版本的Chrome 已開始警告混合內容,但只有移除網址列上的安全鎖頭,但Chrome小組表示,他們發現這對使用者來說並不明顯,無法有效傳達在混合表單輸入訊息的風險。
因此從Chrome 86起將加入更積極行為,包括混合表單上的autofill功能將關閉,使用者著手輸入時,就會看到表單下方顯示紅色的文字,警告表單不安全。使用者要傳送出去時更會看到全頁式的警告訊息,允許用戶返回前頁,或是按下確定傳送(send anyway)的按鍵。
不過在包含登入帳號和密碼提示的混合表單中,Chrome的密碼管理器仍然會運作,協助使用者輸入不重覆密碼。Google說即使在不安全表單中,使用不重覆密碼,還是比同一密碼多網站共用來得安全。
Google也鼓勵網站開發商全面將Web表單轉移到HTTPS協定,以提升使用者防護。
熱門新聞
2024-11-25
2024-11-25
2024-11-15
2024-11-26
2024-11-15
2024-11-25