Google在本周发布了支持Windows、Mac与Linux的Chrome 80桌面程序,新版有许多重要的改变,像是会自动将混合内容升级到HTTPS、强制激活SameSite Cookie,以及提供更安静通知接口等,同时该版也修补了56个安全漏洞。
Google是自去年12月发布的Chrome 79起,逐步封锁在HTTPS网页中,以HTTP下载的内容。Google在Chrome 79封锁了来自HTTP的脚本程序及iframe等危险的内容,而到了Chrome 80,则会自动将来自HTTP的视频及语音等内容升级到HTTPS,假设该站未提供基于HTTPS的相关内容,那么Google也会封锁它们。不过,用户还是能选择下载它们,只是会在网址列上出现不安全的图标。
此外,Chrome 80激活了全新的Cookie分类系统,只要是没有宣称可跨站使用的Cookie,其默认值都是SameSite=Lax,代表它只能在原本的网站上使用,若要跨站访问,则必须自行将Cookie设置为SameSite=None。
根据Google所列出的进程表,该SameSite政策将在2月17日开始部署。
而新的通知设置接口则是为了避免用户受到太多网站的通知叨扰,Chrome 80偶尔会自动秀出“请它安静一点”(quieter)的设置接口,以让用户关闭通知,同时Chrome 80也会在两种情况下主动封锁网站的通知,一是用户经常封锁来自网站的通知时,二是用户极少登录该站时。
在安全漏洞的修补上,Chrome 80总计修补了56个漏洞,其中有10个被列为高度(High)风险等级。