Google 宣布未来的Chrome版本,可能将默认封锁HTTPS网页等安全环境提供的HTTP下载,像是可执行档及压缩文件。
Google Chrome工程师Emily Stark以电子邮件告知W3C Web app安全工作小组指出,Chrome团队想要在兼容以及用户方便性与安全性之间取得平衡,因此将把在安全环境下(如HTTPS网页)执行的部分高风险文件下载视为可疑内容(mixed content),而将之封锁。至于是何种“高风险”下载,Google目前还在做最后的决定,可能是执行档及压缩文件,包括EXE、DMG(Mac压缩镜像文件)、CRX(Chrome 扩展组件)、以及所有主要压缩文件格式如ZIP、GZIP、BZIP、TAR、RAR和7Z等。
这次措施应只涉及PC机版本,因为Android及Google Play的安全上网(Safe Browsing)已经提供用户防护。此外,不安全环境下执行的不安全下载,目前也不在Chrome的默认封锁规划中,因为Chrome已在网址列显示“不安全”的标示,可提供一定程度的警告。
Google也邀请其他浏览器企业加入他们,实例类似的机制。