BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Chrome和Firefox即将开始在不安全的网站显示警告信息

| 作者 David Iffland 关注 4 他的粉丝 ,译者 刘嘉洋 关注 0 他的粉丝 发布于 2017年2月8日. 估计阅读时间: 3 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

Google和Firefox的网络浏览器即将更新,之后用户在浏览不安全的网站时将会收到警告信息。2017年1月发布的Chrome 56和Firefox 51将成为提供警告信息的首个常规版本。

Google多次发出公告,从Chrome 56版本开始,如果用户访问需要输入密码或信用卡信息的非HTTPS网站,会在URL栏显示这是不安全网站的警告。首个版本提供的警告信息比较小,可能用户不仔细看就不会注意到,但是后面的版本中将逐步加强警告。

图片来源:https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

在文章中,他们指出目前网站显示的内容可能会给用户带来安全性错觉:

Chrome目前中立地提示HTTP连接,但这并没有正确反映出HTTP连接缺乏安全性。当你通过HTTP加载网站时,网络上的其他人可以在页面加载出来之前查看或修改网站内容。

这和目前Chrome在使用HTTPS的网站旁边显示“安全”提示的方式比较相似。

Mozilla安全工程师Tanvi Vyas,仅仅通过HTTPS提交表单是不够的:

我们收到了很多这个问题。尽管通过HTTPS而不是HTTP进行传输可以防止网络窃听者看到用户的密码,但它不能阻止活动的MITM攻击者从不安全的HTTP页面上提取密码。攻击者可以获取网站给用户提供的HTML内容,并将窃取用户的用户名和密码的javascript代码添加到HTML页面中。

Google提供了一个页面,协助开发人员获得不安全的警告信息,包括下载最新版本的Chrome Canary来测试他们的网站。

Chrome只允许通过HTTPS提供的含有密码和信用卡信息输入字段的网站可以不显示警告信息。如果表单字段在iframe中,那么整个框架和顶级页面都需要通过HTTPS保护。在之后的版本(待确定)中,Chrome会将即使没有密码和信用卡信息输入字段的非HTTPS的网站也都标记为“不安全”。希望开发人员和网站所有者能设法消除这个警告信息,并通过HTTPS提供所有网页。以后的警告将会更加显眼,会用红色的文字显示不安全信息。

图片来源:https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

查看英文原文Chrome and Firefox Start Warning of Insecure Sites

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

吐槽 by 黄 中均

InfoQ的中文站是否也该换成 https了?

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

1 讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT