BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Google正在推广HTTPS

| 作者 Manuel Pais 关注 9 他的粉丝 ,译者 Rays 关注 3 他的粉丝 发布于 2016年12月20日. 估计阅读时间: 3 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

Google已将现有Chrome特性在非安全站点上禁用,同时新的特性将只支持HTTPS,意在推进HTTPS的普及。Chrome浏览器自50版本以后已禁止通过HTTP做地理定位和使用getUserMedia功能(该功能可访问用户的摄像头或话筒),并即将实施对加密媒体扩展应用缓存、设备移动/方向检测等特性的限制。该做法的合理之处在于,所有这些特性都涉及敏感数据,如没有采用HTTPS,这些敏感数据在传输时将会曝露于易受攻击的Web环境当中。禁用其余特性的时间表依然处于讨论中

同样,一些最新的特性也可能受到攻击,它们将只支持HTTPS。例如Service WorkersPush Notifications和向手机桌面添加网站快捷方式(所有这些功能源自原生的移动应用,现被广泛应用于Progressive Web Apps中)。此外还包括信用卡信息的自动填充和最新推出的支付请求API

除了上述开发者特性,Google还尝试通过改进浏览体验提升安全意识。例如,如果页面中包含了不安全的表单,使用了“非安全”的字符串来请求金融或敏感信息,Chrome将会给出明确的提示信息(这是56版本的功能,计划于2017年1月推出)。有兴趣的组织可以通过设置Chrome Canary版的#mark-non-secure-as标识预览用户界面上所发生的变化。

最近一些进展让HTTPS的迁移变得很顺畅。最近在阿姆斯特丹召开的第一届O'Reilly安全大会上,Google Chrome安全产品经理Emily Schechter演讲中高度评价了Let's EncryptCloudFlare最新提供的服务的重要性。Let's Encrypt使用赞助和众筹模式提供免费证书以及自动安装程序(其重要性如今在DevOps领域与日俱增),这种模式得到著名的Coding Horror博主Jeff Atwood的大力支持。CloudFlare是一家CDN提供商,现在提供了免费的SSL链接,让更多的人用得起。

总而言之,Schechter的演讲给出了十分真实的HTTPS业务案例,强调HTTPS是所有网站的最低安全等级,并提供证据表明大部分HTTPS的传统挑战已不再适用。

一些组织已接受建议迁移到HTTPS,其中包括卫报BBC,这在某种程度上可归因于Google的推动。Schechter在演讲中还引用了其它的成功案例,例如Housing.comAliExpress,HTTPS不仅改进了安全性,而且基于使用仅支持HTTPS的特性,切实地提高了用户转化率(还应考虑到Google的SEO算法将优先对待HTTPS内容)。

ChromeFirefox所给出的数据都表明,现在全世界范围内超过一半的网页采用了HTTPS。

查看英文原文:Google Pushing for HTTPS


感谢薛命灯对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT