Chrome 將開始阻止“安全頁面”上的所有“非安全子資源”的接觸。鑑於不安全的文件下載會威脅到用戶的安全與隱私,此事確實值得推進。
谷歌安全博客發文稱,為了增強下載防護體驗,Chrome 瀏覽器將開始阻止非“安全超文本傳輸協議”的混合內容下載。作為去年宣佈的一項計劃的延續,Chrome 將開始阻止“安全頁面”上的所有“非安全子資源”的接觸。鑑於不安全的文件下載會威脅到用戶的安全與隱私,此事確實值得推進。
比如,攻擊者可攔截不安全的下載地址,將程序替換成惡意軟件、甚至訪問更多的敏感信息。為管控這些風險,谷歌最終還是決定取消對不安全下載的支持。
初期,Chrome 將屏蔽始於安全頁面的不安全下載。這種情況尤其讓人擔憂,因為 Chrome 當前無法向用戶表明其隱私和安全受到威脅。
從 2020 年 4 月的 Chrome 82 開始,谷歌瀏覽器將逐步放出警告、直至最終阻止這類混合內瓤的下載。
對用戶構成最大風險的文件類型(可執行文件)將首先受到影響,後續版本將覆蓋更多的文件類型。
逐步推出的目的,旨在快速緩解最嚴重的風險,為開發人員提供更新其網站的緩衝時間,並最大程度地減少 Chrome 用戶必須看到的警告數量。
谷歌計劃首先在 Windows、macOS、Chrome OS 和 Linux 桌面平臺上推出對混合內容下載的限制,下面是 Chrome 團隊的計劃安排:
- Chrome 81(2020 年 3 月):瀏覽器會蹦出一條控制檯消息,警告所有混合內容的下載;
- Chrome 82(2020 年 4 月):瀏覽器將警告(.exe 等可執行文件)的混合內容下載;
- Chrome 83(2020 年 6 月):警告 .zip 檔案和 .iso 磁盤映像混合內容的下載;
- Chrome 84(2020 年 8 月):警告除圖片、音視頻、文本之外的混合內容的下載;
- Chrome 85(2020 年 9 月):警告圖像、音視頻和文本類混合內容的下載;
- Chrome 86(2020 年 10 月):阻止所有類型混合內容的下載。
至於 Android 和 iOS 移動平臺,谷歌會將相關政策推遲一個版本,從 Chrome 83 開始發出警告。
鑑於移動平臺具有更好的抵禦惡意文件的本機防護功能,留出的時間差,使得開發者有機會在用戶遇到問題前,對自家移動網站進行更新。
此外在當前版本的 Chrome Canary 或 Chrome 81 中,開發者可啟用“將不安全的連接視作危險的混合內容下載”來激活相關警告。
<code>chrome://flags/#treat-unsafe-downloads-as-active-content/<code>
企業和教育客戶可通過現有的每個站點來阻止,在 InsecureContentAllowedForUrls 中添加與請求下載頁面匹配的模式來實施相關策略。
更多資訊
CNNIC 將採取多項措施做好疫情期間網絡基礎保障工作
2月7日下午消息,中國互聯網絡信息中心(CNNIC)發文稱堅決貫徹落實中央關於疫情防控工作重要精神,為保證抗疫工作的順利進行,將採取三項措施。
來源:新浪科技詳情鏈接: https://www.dbsec.cn/blog/news.html
日本多家軍工企業曾遭網絡攻擊 不確定是否有機密外洩
據日本共同社2月7日報道,有關防衛相關企業接連遭到網絡攻擊,日本防衛省6日發佈新的消息稱,2016至2018年度神戶制鋼所與航空測量巨頭PASCO曾遭到網絡攻擊。這兩家公司也公佈了遭攻擊的事實,神戶制鋼承認包括防衛省相關信息在內,共250份文件可能外洩。據悉,防衛省指定的秘密資料沒有外洩。
來源:環球時報詳情鏈接: https://www.dbsec.cn/blog/news.html
FB 要求人臉識別公司 Clearview AI 停止採集用戶數據
Facebook 已經向人工智能創業公司 Clearview AI 發送了停止和終止函,要求其停止為執法目的而使用用戶圖像來識別其身份。此前已有多家社交媒體發出同樣的函件。
來源:新浪科技詳情鏈接: https://www.dbsec.cn/blog/news.html
卡巴警告:9 部奧斯卡提名影片網絡免費資源有坑、檢出大量惡意軟件
第 92 屆奧斯卡頒獎典禮將於 2 月 9 日在杜比劇院舉行,其中最受關注的無疑是最佳影片的角逐。卡巴斯基實驗室發現,不法分子們已經開始變著花樣蹭熱度了。通過對 9 部提名影片進行網絡篩查,結果找出多達 20 家釣魚網站和 925 個惡意文件。
來源:快科技詳情鏈接: https://www.dbsec.cn/blog/news.html
(信息來源於網絡,安華金和蒐集整理)
閱讀更多 Linux技術 的文章
