行业新闻与博客

从 2020年中开始，您将无法在 Chrome 上下载某些文件-这就是为什么

一次又一次，我们目睹了浏览器巨头做出与安全相关的决定，这些决定对最终用户有重大影响，使网络朝着更安全的方向发展。这次是 Google，他宣布了一项计划，以阻止 Google Chrome 浏览器（世界上最受欢迎的浏览器）中的 HTTP 下载。

这就是 Google 所发生的变化，以及为什么它对网络有益。

让我们将其散列出来。

为什么阻止 HTTP 下载？

我们知道，当您访问非 HTTPS 网站时，Google Chrome 和其他主要浏览器会显示“不安全”警告。这样，每天的用户都会收到有关不安全连接的通知，以使他们（希望）不会与该网站交换任何关键信息。这在提高用户意识和采用 HTTPS 方面发挥了关键作用。

但是，这还不够。

如果有一个网站安装了 SSL 证书，但正在通过 HTTP 静默提供其文件下载，该怎么办？如果黑客利用此漏洞将恶意软件注入您的系统怎么办？当然有可能！用技术术语来说，HTTPS 网站上的 HTTP 内容的这种混合称为“混合内容”。有了“混合下载”功能，大多数用户都可以轻松地使用它，因为当下载链接为 HTTP 时，没有迹象表明会通知用户。这绝对是 HTTPS 安全性的一个漏洞，Google 决定通过阻止从 HTTPS 网站下载 HTTP 来填补这一空白。

什么将被阻止？

根据谷歌宣布的计划，Chrome 83（将于 2020年6月发布）将开始阻止“对用户构成最大风险的文件类型”。这些文件类型包括可执行文件，例如.exe 和.apk。在后续的 Chrome 版本中，Google 将包括其他文件类型，最终将阻止 2020年10月发布的 Chrome 86 中的所有文件类型。因此，在 2020年10月之后（如果您更新 Chrome），您将无法如果您单击来自 HTTPS URL 的下载链接，则可以下载通过 HTTP 提供的任何文件。

请注意，如果网站使用 HTTP，则用户仍可以下载 HTTP 文件。此更新针对使用 HTTP 下载 URL 的 HTTPS 站点，因为浏览器显示该站点是安全的，但下载实际上并不安全。

Google 的六阶段拦截方法

尽管阻止过程将随着 Chrome 83 的发布（将于 2020年6月发布）而启动，但 Google 首先希望对用户进行教育，同时也希望网站所有者有时间从其网站中删除混合内容。因此，Chrome 81（将于 2020年3月发布）将提供控制台警告消息，提示所有混合内容下载。

Google 将从 3月开始的这一过程分为六个阶段。以下是 Google 针对台式机平台（Windows，macOS，Chrome 操作系统和 Linux）提供的概述：

Chrome 81（将于 2020年3月发布） — Chrome 将打印一条控制台消息，警告网站管理员有关所有混合内容下载的信息。

Chrome 82（将于 2020年4月发布） — Chrome 将开始警告用户有关可执行文件（.exe，.apk 等）的混合内容下载，并为所有其他类型的文件打印控制台警告。

Chrome 83（将于 2020年6月发布） —这是阻止阶段开始的时间。Chrome 将开始阻止混合内容的可执行文件。此外，它还会警告用户使用混合内容档案（.zip，.iso 等）。所有其他类型文件的控制台警告消息将继续。

Chrome 84（将于 2020年8月发布） — Chrome 将其阻止列表扩展到存档和磁盘映像。在其他混合内容文件类型（例如.pdf 和.docx 文件）上，Chrome 会向用户显示警告。对于图像，音频和视频文件，控制台警告将继续。

Chrome 85（将于 2020年9月发布） — Chrome 将阻止所有文件，但图像，音频和视频文件除外。下载这些文件之前，将向用户显示警告消息。 

Chrome 86（将于 2020年10月发布） —单击 HTTPS 网站上的下载链接时，Chrome 将阻止所有内容在非安全 HTTP 上提供。换句话说，Chrome 会阻止所有混合内容下载。

对于手机（Android 和 iOS），Chrome 会将发布推迟一个版本。这意味着它将开始在 Chrome 83（而不是 Chrome 82）中显示警告。

您的网站内容混合吗？

Google Chrome 浏览器的这一更新不仅会迫使黑客重新考虑其策略，而且一些合法的网站也将不得不重新审视他们的网站。许多网站管理员甚至可能都不知道他们网站上混合了哪些内容。好吧，我们在这里为您提供帮助。

要检查您网站上的混合内容 / 不安全链接，您可以转到“为什么没有挂锁？” 工具，让所有混合内容链接都唾手可得。一旦知道了网站上包含的混合内容，就可以将其迁移到 HTTPS 以保护网站。请查看我们的博客文章“ 如何在 HTTPS 网站上查找和修复混合内容警告”，以获取有关如何将内容切换到完全 HTTPS 的提示。

最后的话

尽管 Google 付出了巨大的努力，以使不安全的网站切换到 HTTPS 并提高用户对 HTTPS 的意识，但我始终认为，混合内容是一个需要解决的问题。Google 现在减少了混合内容下载，这无疑将标志着增强互联网隐私和安全性的里程碑。我们希望并期望其他浏览器也能效仿，以保护用户的隐私和安全。

本文由机器译制