Chrome 不想让 HTTPS 网站通过 HTTP 下载文件

h4cd
 h4cd
发布于 2019年04月11日
收藏 4

你是否经历过访问的明明是一个 HTTPS 网站,但是有时候站内下载东西使用的协议却是 HTTP,这其实存在安全隐患,现在 Chrome 不想让这样的事情发生。

ZDNet 报导,谷歌 Chrome 工程师正计划在 HTTPS 网站上默认禁止一些通过 HTTP 下载的行为,当涉及到下载 EXE、DMG(Mac 应用二进制文件)、CRX(Chrome 扩展包) 与诸如 ZIP、GZIP、BZIP、TAR、RAR 和 7Z 等主流压缩/打包文件时,浏览器将阻止下载。

默认阻止下载的这些文件类型被认为是“高风险”的,因为它们最有可能被滥用来隐藏恶意程序。

该想法由谷歌工程师 Emily Stark 在 W3C 邮件列表上提出。

Emily 表示目前仅考虑阻止在 HTTPS 站点上发起的下载行为,而如果是 HTTP 网站下载这些类型文件,则不加以阻止,因为浏览器本身已经通过 URL 栏对于 HTTP 网站给出了“不安全”的提示。  

此外,目前仅考虑将此功能添加到桌面版 Chrome 中,Emily 认为在 Android 上,Chrome 已经可以以类似的方式阻止可疑的 APK 文件,所以暂时问题不大。

在邮件中,Emily 还表示希望其它浏览器制造商实施类似的机制,随后 Mozilla 发言人回应称:“我们有兴趣与谷歌等方面进一步探讨这些想法。”

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:Chrome 不想让 HTTPS 网站通过 HTTP 下载文件
加载中

精彩评论

南漂一卒
南漂一卒
因为很多云存储服务商只给 HTTP 免费配额……
东胜神洲
东胜神洲
以后 Google 会不会将 https 弄得跟 GPL 一样,https 网站所有链接只能是 https,无论跳到什么地方,都必须都是 https..

证书市场的规模就被做大了。。。我最佩服资本的地方就在这里,努力挖掘和做大任何一个市场。。
郑彬
郑彬

引用来自“神州浪子”的评论

应该给出风险提示,但简单粗暴地禁止似乎不妥
如果不这么强制,很难推动https普及,就和flash视频一样,开了口子就容易让网站不思进取.
下载用http确实容易引起安全风险,直接在路由过程中可以拦截植入木马程序.记忆犹新的中国电信ADSL植入广告情况,各地发生了很多次了.
巧可炭
巧可炭

引用来自“lidanger”的评论

很多方面完全没必要用https
我曾经在putty官网下putty结果打开是个金山毒霸。。。
再下就正常了。。。
lidanger
lidanger
很多方面完全没必要用https

最新评论(12

乳沟
乳沟

引用来自“神州浪子”的评论

应该给出风险提示,但简单粗暴地禁止似乎不妥

引用来自“郑彬”的评论

如果不这么强制,很难推动https普及,就和flash视频一样,开了口子就容易让网站不思进取.
下载用http确实容易引起安全风险,直接在路由过程中可以拦截植入木马程序.记忆犹新的中国电信ADSL植入广告情况,各地发生了很多次了.

引用来自“乳沟”的评论

刚在手机上浏览天涯,就是被植入了淘宝app的广告

引用来自“浮生葬忆梦”的评论

这个应该是APP的问题,应该是APP窃取了个人隐私数据
这么肯定?我手机自带的浏览器,用一年多没问题,结果浏览一下天涯就淘宝app下载了,这是浏览器的问题?
浮生葬忆梦
浮生葬忆梦

引用来自“神州浪子”的评论

应该给出风险提示,但简单粗暴地禁止似乎不妥

引用来自“郑彬”的评论

如果不这么强制,很难推动https普及,就和flash视频一样,开了口子就容易让网站不思进取.
下载用http确实容易引起安全风险,直接在路由过程中可以拦截植入木马程序.记忆犹新的中国电信ADSL植入广告情况,各地发生了很多次了.

引用来自“乳沟”的评论

刚在手机上浏览天涯,就是被植入了淘宝app的广告
这个应该是APP的问题,应该是APP窃取了个人隐私数据
乳沟
乳沟

引用来自“lidanger”的评论

很多方面完全没必要用https

引用来自“巧可炭”的评论

我曾经在putty官网下putty结果打开是个金山毒霸。。。
再下就正常了。。。

引用来自“lidanger”的评论

这么叼吗?没见过
表示经历过很多次这样的事情,特别是用长城宽带的时候
乳沟
乳沟

引用来自“神州浪子”的评论

应该给出风险提示,但简单粗暴地禁止似乎不妥

引用来自“郑彬”的评论

如果不这么强制,很难推动https普及,就和flash视频一样,开了口子就容易让网站不思进取.
下载用http确实容易引起安全风险,直接在路由过程中可以拦截植入木马程序.记忆犹新的中国电信ADSL植入广告情况,各地发生了很多次了.
刚在手机上浏览天涯,就是被植入了淘宝app的广告
南漂一卒
南漂一卒
因为很多云存储服务商只给 HTTP 免费配额……
lidanger
lidanger

引用来自“lidanger”的评论

很多方面完全没必要用https

引用来自“巧可炭”的评论

我曾经在putty官网下putty结果打开是个金山毒霸。。。
再下就正常了。。。
这么叼吗?没见过
巧可炭
巧可炭

引用来自“lidanger”的评论

很多方面完全没必要用https
我曾经在putty官网下putty结果打开是个金山毒霸。。。
再下就正常了。。。
lidanger
lidanger
很多方面完全没必要用https
东胜神洲
东胜神洲
以后 Google 会不会将 https 弄得跟 GPL 一样,https 网站所有链接只能是 https,无论跳到什么地方,都必须都是 https..

证书市场的规模就被做大了。。。我最佩服资本的地方就在这里,努力挖掘和做大任何一个市场。。
郑彬
郑彬

引用来自“神州浪子”的评论

应该给出风险提示,但简单粗暴地禁止似乎不妥
如果不这么强制,很难推动https普及,就和flash视频一样,开了口子就容易让网站不思进取.
下载用http确实容易引起安全风险,直接在路由过程中可以拦截植入木马程序.记忆犹新的中国电信ADSL植入广告情况,各地发生了很多次了.
返回顶部
顶部