强推HTTPS：Chrome 62将所有需输入数据的HTTP页面标为“不安全”

Posted 2021-04-30 FreeBuf

Chrome安全团队上周四（27日），Chrome将进一步扩大HTTP页面“不安全”警告的展示范围。Chrome 62版本起，所有需要输入数据的HTTP页面以及“隐身模式”下的所有HTTP页面都将显示“不安全”警告。

今年1月份，Chrome 56版本开始正式将HTTP页面标记为“不安全”，该版本仅对需要输入密码或信用卡信息的HTTP页面显示“不安全”警告。但从2017年10月开始，Chrome会在另外两种情况下对HTTP页面显示“不安全”警告：用户在HTTP页面上输入数据，或以隐身模式访问任何HTTP页面。

根据谷歌的统计数据，Chrome 56对HTTP页面显示不安全警告后，使用HTTP的登录或支付页面下降了23%。但是密码和信用卡信息不是唯一需要保护的隐私数据，用户输入到网站上的任何类型的数据都不能被网络上其他人获取到。因此，Chrome 62版本开始，当用户在HTTP页面输入数据时，Chrome将显示“不安全”警告。而使用“隐身模式”的用户，显然对隐私保护的期待更高，而HTTP浏览无私密性可言。因此，“隐身模式”下访问任何HTTP页面，都将显示“不安全”警告。

谷歌的最终目标是将所有HTTP页面显示“不安全”警告，即使不是“隐身模式”也一样。未来的Chrome更新版本将逐步扩大对HTTP页面“不安全”警告的范围，谷歌建议网站所有者提前部署HTTPS加密，不要等到所有HTTP页面都被警告。现在HTTPS加密的部署已经变得越来越便宜而且便捷。HTTPS能够使网站拥有更良好的性能（如HTTP/2），还能使用更多HTTP无法使用的强大新功能（如地理位置服务或getUserMedia）。

*消息来源：谷歌安全博客 ，沃通CA翻译整理，转载请注明来自FreeBuf.COM