Chrome不想讓HTTPS網站通過HTTP下載文件
2019年04月11日08:18

  本文來自開源中國

  你是否經曆過訪問的明明是一個HTTPS網站,但是有時候站內下載東西使用的協議卻是HTTP,這其實存在安全隱患,現在Chrome不想讓這樣的事情發生。ZDNet 報導,Google Chrome 工程師正計劃在 HTTPS 網站上預設禁止一些通過 HTTP 下載的行為,當涉及到下載 EXE、DMG(Mac 應用二進製文件)、CRX(Chrome 擴展包) 與諸如 ZIP、GZIP、BZIP、TAR、RAR 和 7Z 等主流壓縮/打包文件時,瀏覽器將阻止下載。

  預設阻止下載的這些文件類型被認為是“高風險”的,因為它們最有可能被濫用來隱藏惡意程式。

  該想法由Google工程師 Emily Stark 在 W3C 郵件列表上提出。

  Emily 表示目前僅考慮阻止在 HTTPS 站點上發起的下載行為,而如果是 HTTP 網站下載這些類型文件,則不加以阻止,因為瀏覽器本身已經通過 URL 欄對於 HTTP 網站給出了“不安全”的提示。

  此外,目前僅考慮將此功能添加到桌面版 Chrome 中,Emily 認為在 Android 上,Chrome 已經可以以類似的方式阻止可疑的 APK 文件,所以暫時問題不大。

  在郵件中,Emily 還表示希望其它瀏覽器製造商實施類似的機製,隨後 Mozilla 發言人回應稱:“我們有興趣與Google等方面進一步探討這些想法。”

關注我們Facebook專頁
    相關新聞
      更多瀏覽