Chrome 不想让 HTTPS 网站通过 HTTP 下载文件 - 开源中国社区
Chrome 不想让 HTTPS 网站通过 HTTP 下载文件
h4cd 2019年04月11日

Chrome 不想让 HTTPS 网站通过 HTTP 下载文件

h4cd h4cd 发布于2019年04月11日 收藏 4

开发四年只会写业务代码,分布式高并发都不会还做程序员? >>>  

你是否经历过访问的明明是一个 HTTPS 网站,但是有时候站内下载东西使用的协议却是 HTTP,这其实存在安全隐患,现在 Chrome 不想让这样的事情发生。

ZDNet 报导,谷歌 Chrome 工程师正计划在 HTTPS 网站上默认禁止一些通过 HTTP 下载的行为,当涉及到下载 EXE、DMG(Mac 应用二进制文件)、CRX(Chrome 扩展包) 与诸如 ZIP、GZIP、BZIP、TAR、RAR 和 7Z 等主流压缩/打包文件时,浏览器将阻止下载。

默认阻止下载的这些文件类型被认为是“高风险”的,因为它们最有可能被滥用来隐藏恶意程序。

该想法由谷歌工程师 Emily Stark 在 W3C 邮件列表上提出。

Emily 表示目前仅考虑阻止在 HTTPS 站点上发起的下载行为,而如果是 HTTP 网站下载这些类型文件,则不加以阻止,因为浏览器本身已经通过 URL 栏对于 HTTP 网站给出了“不安全”的提示。  

此外,目前仅考虑将此功能添加到桌面版 Chrome 中,Emily 认为在 Android 上,Chrome 已经可以以类似的方式阻止可疑的 APK 文件,所以暂时问题不大。

在邮件中,Emily 还表示希望其它浏览器制造商实施类似的机制,随后 Mozilla 发言人回应称:“我们有兴趣与谷歌等方面进一步探讨这些想法。”

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Chrome 不想让 HTTPS 网站通过 HTTP 下载文件
分享
评论(12)
精彩评论
6
因为很多云存储服务商只给 HTTP 免费配额……
4
以后 Google 会不会将 https 弄得跟 GPL 一样,https 网站所有链接只能是 https,无论跳到什么地方,都必须都是 https..

证书市场的规模就被做大了。。。我最佩服资本的地方就在这里,努力挖掘和做大任何一个市场。。
4

引用来自“神州浪子”的评论

应该给出风险提示,但简单粗暴地禁止似乎不妥
如果不这么强制,很难推动https普及,就和flash视频一样,开了口子就容易让网站不思进取.
下载用http确实容易引起安全风险,直接在路由过程中可以拦截植入木马程序.记忆犹新的中国电信ADSL植入广告情况,各地发生了很多次了.
3

引用来自“lidanger”的评论

很多方面完全没必要用https
我曾经在putty官网下putty结果打开是个金山毒霸。。。
再下就正常了。。。
1
很多方面完全没必要用https
最新评论
0

引用来自“神州浪子”的评论

应该给出风险提示,但简单粗暴地禁止似乎不妥

引用来自“郑彬”的评论

如果不这么强制,很难推动https普及,就和flash视频一样,开了口子就容易让网站不思进取.
下载用http确实容易引起安全风险,直接在路由过程中可以拦截植入木马程序.记忆犹新的中国电信ADSL植入广告情况,各地发生了很多次了.

引用来自“乳沟”的评论

刚在手机上浏览天涯,就是被植入了淘宝app的广告

引用来自“浮生葬忆梦”的评论

这个应该是APP的问题,应该是APP窃取了个人隐私数据
这么肯定?我手机自带的浏览器,用一年多没问题,结果浏览一下天涯就淘宝app下载了,这是浏览器的问题?
0

引用来自“神州浪子”的评论

应该给出风险提示,但简单粗暴地禁止似乎不妥

引用来自“郑彬”的评论

如果不这么强制,很难推动https普及,就和flash视频一样,开了口子就容易让网站不思进取.
下载用http确实容易引起安全风险,直接在路由过程中可以拦截植入木马程序.记忆犹新的中国电信ADSL植入广告情况,各地发生了很多次了.

引用来自“乳沟”的评论

刚在手机上浏览天涯,就是被植入了淘宝app的广告
这个应该是APP的问题,应该是APP窃取了个人隐私数据
0

引用来自“lidanger”的评论

很多方面完全没必要用https

引用来自“巧可炭”的评论

我曾经在putty官网下putty结果打开是个金山毒霸。。。
再下就正常了。。。

引用来自“lidanger”的评论

这么叼吗?没见过
表示经历过很多次这样的事情,特别是用长城宽带的时候
0

引用来自“神州浪子”的评论

应该给出风险提示,但简单粗暴地禁止似乎不妥

引用来自“郑彬”的评论

如果不这么强制,很难推动https普及,就和flash视频一样,开了口子就容易让网站不思进取.
下载用http确实容易引起安全风险,直接在路由过程中可以拦截植入木马程序.记忆犹新的中国电信ADSL植入广告情况,各地发生了很多次了.
刚在手机上浏览天涯,就是被植入了淘宝app的广告
6
因为很多云存储服务商只给 HTTP 免费配额……
0

引用来自“lidanger”的评论

很多方面完全没必要用https

引用来自“巧可炭”的评论

我曾经在putty官网下putty结果打开是个金山毒霸。。。
再下就正常了。。。
这么叼吗?没见过
3

引用来自“lidanger”的评论

很多方面完全没必要用https
我曾经在putty官网下putty结果打开是个金山毒霸。。。
再下就正常了。。。
1
很多方面完全没必要用https
4
以后 Google 会不会将 https 弄得跟 GPL 一样,https 网站所有链接只能是 https,无论跳到什么地方,都必须都是 https..

证书市场的规模就被做大了。。。我最佩服资本的地方就在这里,努力挖掘和做大任何一个市场。。
4

引用来自“神州浪子”的评论

应该给出风险提示,但简单粗暴地禁止似乎不妥
如果不这么强制,很难推动https普及,就和flash视频一样,开了口子就容易让网站不思进取.
下载用http确实容易引起安全风险,直接在路由过程中可以拦截植入木马程序.记忆犹新的中国电信ADSL植入广告情况,各地发生了很多次了.
1
应该给出风险提示,但简单粗暴地禁止似乎不妥
0
顶部