Chrome 正在开展将混和內容全自动升级成 HTTPS 的试

2021-01-20 01:27 jianzhan

谷歌的工程项目师们正在找寻1个处理 HTTPS 混和內容(mixed content)不正确的方式,她们如今好像有了正确的念头……

Chrome 精英团队将在这周开展1项试验,尝试给 Mozilla 上年也尝试处理的 HTTPS 难题寻找处理计划方案。该难题被称为“混和內容”,谷歌将其叙述以下:

原始的 HTML(1个网页页面)根据安全性的 HTTPS 联接载入,但别的資源(如图象、视頻、款式表、脚本制作)则根据躁动不安全的 HTTP 联接载入的情况下,混和內容就会出現。之因此被称为混和內容,是由于 HTTP 和 HTTPS 內容都被载入显示信息在同个网页页面,而且原始恳求在 HTTPS 上是安全性的。当代访问器会显示信息相关这类种类內容的警示,以向客户表明当今网页页面包括着躁动不安全的資源。

以往的几年里,混和內容针对促进着 HTTPS 选用的访问器生产制造商和别的机构来讲,1直是个大难题。混和內容访问器的不正确,许多情况下会被觉得是阻拦客户浏览1个网站。这也使得很多网站经营商害怕转移到 HTTPS,她们担忧会由于适用 HTTPS 而丧失总流量收入这个切切实实的益处。这样来看,处理 Web 访问器中出現的混和內容不正确,极可能是说动网站经营商转为 HTTPS 最终的关键阻碍。

在本周,谷歌工程项目师在 Chrome上 推出了1项试验,能够将访问器配备为全自动升級任何混和內容到详细的 HTTPS。Chrome 能够根据密秘地将資源的URL(如图象、视頻、款式表、脚本制作)从 HTTP 版本号变更为 HTTPS 取代版本号来完成这1点。假如 HTTPS 连接上存在同样的資源,那末全部內容都会一切正常载入。假如取代 HTTPS link 上不存在資源,Chrome 将纪录不正确并实行为本试验配备的多种多样计划方案中的1种。

1般状况下,网站全部者升级她们的网站以应用 HTTPS 时,她们将会忘掉变更1些网站源代码,致使1些內容留给了 HTTP 载入,而这些內容将会根据 HTTPS 载入也是可行的。

这个试验目地是让谷歌工程项目师可以看到,假如 Chrome 默认设置将全部混和內容站点全自动升级为 HTTPS,会有是多少网站奔溃,甚么是破坏混和內容 HTTP URLs 的最好返回对策。假如连接和网站被破坏的占比很小,谷歌工程项目师极可能会考虑到在 Chrome 访问器中推出这类全自动升级到 HTTPS 的作用,朝着更安全性的互联网迈出又1步。

现阶段,谷歌准备在大概 1% 的 Chrome Canary 客户群(开启了 chrome://flags/#enable-origin-trials 标示的客户)推出这项试验。

据掌握,谷歌的试验不容易是第1次,在上年 Mozilla 在 Firefox 中就应用了相近的混和內容全自动升级,并开展了检测。谷歌安全性工程项目师 Emily Stark 表明:“她们发现了许多破损(breakage),大家期待这次试验状况能有一定的改进。”另外,有关混和內容解决的别的试验,也在方案中。