7 月 24 號(hào) Chrome 68發(fā)布會(huì)中谤辜,Google 引入了一項(xiàng)重大的變化。
自發(fā)布當(dāng)日(7月24日)起价捧,所有未加密的網(wǎng)站都會(huì)在地址欄上明確標(biāo)記為“Not Secure”(不安全)丑念。也就是說(shuō),如果你的網(wǎng)站沒(méi)有采用HTTPS協(xié)議结蟋,當(dāng)使用谷歌新版瀏覽器的用戶訪問(wèn)網(wǎng)站時(shí)就會(huì)出現(xiàn)不安全提示脯倚。
當(dāng)然,這是今年?5 月谷歌早就透露的新版 Chrome 的重要功能嵌屎。當(dāng)時(shí)推正,它還宣布,從 Chrome 69 開(kāi)始(今年 9
月發(fā)布)宝惰,如果網(wǎng)頁(yè)缺乏安全防護(hù)舔稀,HTTP/HTTPS 頁(yè)面上就只會(huì)顯示“不安全”的標(biāo)記了,而 HTTPS 網(wǎng)頁(yè)上的“安全”標(biāo)記則會(huì)被移除掌测。
Chrome?瀏覽器已經(jīng)堪比小型殺毒軟件
Chrome
這一變可不要緊,許多網(wǎng)站的所有者可遭殃了,一旦被印上“不安全”的標(biāo)記汞斧,恐怕他們得賠了夫人又折兵夜郁。值得注意的是,除了標(biāo)識(shí)HTTP網(wǎng)站不安全外粘勒,谷歌還計(jì)劃在Google搜索結(jié)果里降低HTTP網(wǎng)站的權(quán)重和排名竞端,這對(duì)想要在搜索引擎中有排名的網(wǎng)站而言影響也非常大。
根據(jù)權(quán)威監(jiān)測(cè)機(jī)構(gòu)StatCounter今年5月發(fā)布的全球?yàn)g覽器市場(chǎng)份額數(shù)據(jù)顯示庙睡,谷歌Chrome瀏覽器目前在全球擁有58.09%的市場(chǎng)占有率事富,穩(wěn)居第一。所以谷歌宣布新版瀏覽器中標(biāo)記所有HTTP網(wǎng)站為不安全乘陪,對(duì)采用HTTP協(xié)議的網(wǎng)站來(lái)說(shuō)影響很大统台。
目前國(guó)內(nèi)大部分網(wǎng)站尤其是中小型網(wǎng)站仍然采用的是HTTP協(xié)議的網(wǎng)站。但HTTP協(xié)議本身是不具備加密的功能啡邑,無(wú)法保證客戶的隱私信息的安全贱勃,同時(shí)有網(wǎng)站被篡改,流量被劫持等風(fēng)險(xiǎn)谤逼。因此贵扰,作為搜索引擎巨頭的谷歌一直認(rèn)為HTTP協(xié)議不安全,需要更安全的HTTPS協(xié)議來(lái)代替流部。
所謂的HTTPS協(xié)議戚绕,簡(jiǎn)單講就是HTTP的安全版,只是在里面加入了SSL層枝冀,用于安全的HTTP數(shù)據(jù)傳輸舞丛,保證了網(wǎng)站用戶的信息安全。
除了這個(gè)“不安全”標(biāo)記宾茂,Chrome 68 還帶來(lái)了不少炫酷的安全新功能瓷马。
Chrome 68 帶來(lái)兩大反惡意廣告功能
在安全上,恐怕最亮眼的就是 Chrome 的全新惡意廣告防御機(jī)制跨晴。
比如欧聘,Chrome 現(xiàn)在能攔截臭名昭著的 iframes(通常會(huì)嵌入在網(wǎng)頁(yè)中)了,此前這種將上層頁(yè)面重新定向到另一個(gè) URL 的操作讓用戶深惡痛絕端盆。其實(shí)谷歌從 Chrome 64 就開(kāi)始逐漸應(yīng)用這種機(jī)制了怀骤,不過(guò)在 Chrome 68 中才算全面上線。
當(dāng)然焕妙,iframe 并沒(méi)有被 Chrome 一巴掌拍死蒋伦,如果用戶愿意和它互動(dòng),它也可以對(duì)頁(yè)面進(jìn)行重新定向焚鹊。不過(guò)整體來(lái)說(shuō)痕届,這一改變確實(shí)對(duì)攔截惡意廣告起了巨大作用。
其次,Chrome 68 添加了全面的 tab-under 行為攔截功能研叫。所謂的“ tab-under”
其實(shí)就是當(dāng)用戶點(diǎn)擊一個(gè)鏈接锤窑,網(wǎng)站會(huì)在另一個(gè)標(biāo)簽頁(yè)打開(kāi)新的 URL,而老的標(biāo)簽頁(yè)不但不關(guān)閉嚷炉,還成了各種廣告的集散地渊啰。最近幾年來(lái),tab-under
技術(shù)在互聯(lián)網(wǎng)上泛濫成災(zāi)并成為一顆毒瘤申屹。
去年谷歌首次公布了 tab-under 攔截功能绘证,第一個(gè)攔截機(jī)制也隨 Chrome 65 一同誕生。現(xiàn)在哗讥,隨 Chrome 68 一同面世的則是正式版的攔截功能嚷那,瀏覽器每次進(jìn)行攔截,都會(huì)在網(wǎng)頁(yè)上警告用戶忌栅。
Chrome?與?tab-under?行為的斗爭(zhēng)
在另一個(gè)安全領(lǐng)域车酣,Chrome 68 也實(shí)現(xiàn)了新的里程碑。一直以來(lái)索绪,谷歌都試圖阻止第三方軟件(大多數(shù)為殺毒軟件)在 Chrome 主進(jìn)程中植入代碼湖员,而現(xiàn)在這項(xiàng)工作進(jìn)入第二階段了。
去年 11 月份谷歌曾解釋稱瑞驱,Chrome 68 會(huì)開(kāi)始攔截第三方軟件在 Chrome 主進(jìn)程中植入代碼娘摔,如果攔截會(huì)造成 Chrome 無(wú)法啟動(dòng),瀏覽器會(huì)重啟并允許第三方軟件啟動(dòng)唤反,但還是會(huì)顯示警告以指導(dǎo)用戶移除該第三方軟件凳寺。
雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng))了解到,明年 1 月份彤侍,谷歌更是會(huì)下狠手肠缨,徹底移除在 Chrome 中植入第三方代碼的功能,并對(duì)這種行為進(jìn)行徹底的封殺盏阶。
API 和網(wǎng)頁(yè)開(kāi)發(fā)端也有大變化
不過(guò)晒奕,新的 Chrome 68 可不是簡(jiǎn)單的修修補(bǔ)補(bǔ)并添加些安全功能的擠牙膏產(chǎn)品,新版瀏覽器的 API 和網(wǎng)絡(luò)標(biāo)準(zhǔn)支持的升級(jí)工作也在穩(wěn)步推進(jìn)名斟。
Chrome 68 最有趣的新增功能恐怕就是支持 Payment Handler API 了脑慧。這個(gè)新的 API 其實(shí)就是 Chrome 61 中出現(xiàn)的 Payment Request API 的小伙伴,有了它整個(gè)在線支付的過(guò)程會(huì)簡(jiǎn)化很多砰盐。
除此之外闷袒,谷歌還聽(tīng)取了開(kāi)發(fā)者社群的反饋,專門修改了“添加到主屏幕”(Add?to Home Screen)功能岩梳,將彈出功能的控制權(quán)下放給開(kāi)發(fā)者囊骤。
當(dāng)然晃择,Chrome 68 中還新增了 Page Lifecycle API,未來(lái)該 API 將成為大多數(shù)網(wǎng)頁(yè)開(kāi)發(fā)者的必備功能之一淘捡。有了
Page Lifecycle
API藕各,開(kāi)發(fā)者就能根據(jù)用戶設(shè)備的“生命周期”(CPU、電池焦除、瀏覽器標(biāo)簽頁(yè)、前臺(tái)/后臺(tái)狀態(tài)等都會(huì)開(kāi)率在內(nèi))對(duì)網(wǎng)站進(jìn)行微調(diào)作彤,以提升用戶體驗(yàn)膘魄。
如何接入HTTPS協(xié)議?
網(wǎng)站從HTTP協(xié)議升級(jí)為HTTPS協(xié)議竭讳,只需要到證書頒發(fā)機(jī)構(gòu)CA申請(qǐng)SSL證書安全即可创葡。SSL證書是一種數(shù)字證書,配置在網(wǎng)站服務(wù)器上绢慢。當(dāng)成功安裝上SSL安全證書后灿渴,瀏覽器的地址欄里出現(xiàn)的網(wǎng)站地址就會(huì)是“https”的前綴。
綜合自:雷鋒網(wǎng)胰舆、Solidot骚露、知道創(chuàng)宇云安全