no-more-mixed-content

還記得我們在去年7月發表了一篇關於Chrome團隊在2018年的5月公告改變了對https以及http的標示,未使用SSL憑證的網址將會直接在網址列上列出「不安全」,提示使用者網站未經過加密,恐有資安風險的文章嗎?(回顧:Google Chrome 正式將 HTTP 標記為「不安全」網站

如今,Chrome團隊在今年10月又發表了將於12月起將逐步的封鎖從https網域中以http網域下載的混合內容,以此保障使用者的隱私權及網路安全性、並提供一透明有保障的使用者體驗。

Chrome團隊表示從2017年推動將替網站加上SSL憑證來保障傳輸資料以來,在將http內容轉換成https這方面有良好的表現。目前Chrome的用戶花在https連線上的上網時間超過90%,而Chrome團隊也開始致力於確保https頁面構成之安全性及其更新速度之作業。

不過,Chrome團隊同時也發現目前仍有不少子資源是從不安全的 http 網頁載入,包括圖片、影片、音訊和具有高風險的「混合內容」,而https所面對的問題大多受困於此。雖然瀏覽器會預設封鎖腳本程式和iframe等混合內容,但是人們仍然可下載任意圖片及影音,而這將會造成用戶隱私和安全的威脅。

為了更全面的改善安全性問題,以及提供使用者更好的體驗。Chrome團隊將從12月推出的Chrome 79開始,Google會逐步實施預設封鎖混合內容。為了減少損害,Chrome團隊將自動升級所有混合內容中的影音檔為https://,如果網站已經可由https://下載圖片、影音內容,網站則照常運作、不受影響。

 

混合內容會對使用者有什麼影響?

 

https當中的「S」所代表的是網站使用編碼協定的安全性,將網站加入SSL協定作為安全憑證,藉此可以保護使用者瀏覽或使用該網域時,防止資料被竊取。
然而,從https網域當中下載了http網域的混合內容,會帶給使用者什麼樣的影響呢?

  • 安全性問題:駭客可能透過http內容竄改資訊(例如:竄改公司股價圖來誤導投資人),或是企圖在這些http內容注入追蹤行蹤的cookies,有後續不良的企圖。
  • 造成不佳的使用者體驗:混合內容會使網站會顯示為介於「安全」「不安全」之間。部分使用者可能在使用過程中感到混淆,亦可能導致使用者經驗品質下降。

 

我的網站有混合內容嗎?該如何修正?Chrome團隊提供3方法解決

 

為了避免網站有混合內容,您可以遵循以下的步驟來檢查您的網站:

1.從最新版的Chrome瀏覽器透過https造訪您的網站。
2.在瀏覽器中按下:更多工具>開發人員工具,找到Console的窗格。
3.尋找是否有出現混合內容錯誤的提示(如下圖)

active-mixed-content-errors-mixed-content

如果我的網站有混合性內容錯誤該怎麼做?別慌張,您可以嘗試以下幾個作法將混合內容轉至https,避免Chrome的警訊以及其他破壞。

  • 使用CSP及Chrome 團隊開發的之審核系統 ”Lighthouse” 覆蓋或修復您的網站上的混合內容。
  • 進行https的移轉作業(可參照Google給開發者建議的此說明
  • 檢視您的內容傳遞網路、主機商或內容管理系統是否提供可調整混合內容的工具選項。舉例來說,Cloudflare就提供了一可將混合內容複寫至https的工具,並且也可使用WordPress外掛程式。

 

Chrome針對混合內容逐步封鎖的計畫時程

 

針對Chrome團隊這次公布的封鎖混合性內容,他們會按照以下的時程來做逐步的封鎖。
最後,我們提醒,如果您的網站有混合性內容的問題,建議您可以儘早開始作業,來保障使用者與網站的安全!

  • 正式版 Chrome79當中(2019年12月發行),Chrome團隊將會引進一可封鎖特定網站上的混合內容之新設定。該設定將會套用至混合腳本程式、iframe、及其他Chrome可能已預設封鎖之混合內容。使用者可透過點擊任一https網頁上之鎖頭符號並選取「網站設定 (site settings)」選項任意開關此設定。而該符號亦取代了原先Chrome桌機版出現在鏈結右方的盾牌圖示。

Chrome79

  • Chrome80版本中,所有混合內容中的影音檔將自動升級為https://,若圖像影音檔無法從https下載則會被Chrome封鎖。Chrome80的早期開發版將於明年1月釋出,Chrome81 則預定於2月。屆時使用者還是可透過上述的設定變更去下載特定的影音內容。

 

  • Chrome80版本中,使用者仍可下載混合影音檔,但Chrome的鏈結將會顯示為「不安全」。Chrome團隊期許該行動能確保用戶一個安全的使用者介面、並驅使網站中的圖像皆能升級至https。而開發者們可使用upgrade-insecure-requests或block-all-mixed-content等CSP指令避免這個警訊。

Chrome80

 

結 論

 

您的網站有混合內容嗎?
為了提供更好的使用者體驗與安全性,快去檢查一下吧!

◎如果對自家網站有所疑問或不知該如何著手進行,非常歡迎與台灣亞文聯絡諮詢。

 

相關資料來源:
No More Mixed Messages About HTTPS
Preventing Mixed Content
Blogger說明-修正網誌的混合內容

 

 

    auncontw 發表在 痞客邦 留言(0) 人氣()