谷歌团队将在本周进行一项实验Chrome 自动升级后,本地项目都无法访问,试图找到一个解决去年试图解决的HTTPS问题的方法。
谷歌试图解决的问题被称为“混合内容”,谷歌描述如下:
当初始HTML[网页]通过安全的HTTPS连接加载,但其他资源(如图像、视频、样式表和脚本)通过不安全的HTTP连接加载时,就会出现混合内容。这被称为混合内容,因为HTTP和HTTPS内容被加载以显示同一个页面,并且初始请求通过HTTPS是安全的。现代浏览器显示关于此类内容的警告,以向用户表明此页面包含不安全的资源。
在过去的几年里,混合内容一直是浏览器制造商和其他促进采用HTTPS的组织的一个大问题。
混合内容浏览器错误——有时会完全阻止用户访问网站——吓得许多网站运营商迁移到HTTPS,许多人担心他们会失去流量收入,因为他们支持HTTPS而没有任何实际利益。
解决网络浏览器中的混合内容错误可能是说服网站运营商转向HTTPS的最后一个主要障碍。
本周,谷歌工程师在上启动了一项实验。他们将浏览器配置为自动将任何混合内容升级为全HTTPS。
会将资源(如图片、视频、样式表和脚本)的URL从HTTP版本秘密更改为HTTPS替代方法来实现这一目标。
如果HTTPS链路上存在相同的资源,则一切正常。如果替换的HTTPS linl上不存在该资源,将记录该错误,并执行为该实验配置的许多方案中的一个(在本文档中有详细描述)。
总的想法是,当网站所有者更新网站使用HTTPS时Chrome 自动升级后,本地项目都无法访问,他们可能会忘记更改网站的源代码,有些内容是通过HTTP加载的,即使可以通过HTTPS加载。
这个实验的目的是让谷歌工程师深刻理解,如果默认自动将所有混合内容的网站更新到HTTPS,会有多少网站被破坏,对于混合内容的HTTP网站,最好的备份策略是什么。
如果受损链接和网站的比例很小,谷歌工程师可能会考虑在主浏览器中发布这一对HTTPS功能的自动更新,并朝着更安全的网络迈出新的一步。
目前,谷歌打算将该实验扩展到其 用户群的大约1%(他们已经启用了://flags/# --标志)。
谷歌的实验不会是第一次。去年,在中用类似的混合内容自动更新测试了它。
谷歌安全工程师艾米丽斯塔克(Emily Stark)表示:“他们发现了很多损坏,但我们希望自实验以来情况有所改善。
评论留言