你或许曾遇到过这样的情况:访问的是一个使用 https 的网站,但有时从该网站下载资源时却使用了 http 协议,这实际上存在着一定的安全风险。如今,谷歌 chrome 团队正着手解决这一问题。据 zdnet 报道,chrome 工程师正在计划对 https 网站上的某些通过 http 进行的下载行为采取默认阻止措施。具体来说,在 https 网站上尝试下载 .exe、.dmg(mac 应用程序二进制文件)、.crx(chrome 浏览器扩展包),以及常见的压缩或打包文件如 .zip、.gz、.bz、.tar、.rar 和 .7z 时,浏览器将会自动拦截这些下载请求。
这些被列为“高危”的文件类型之所以受到限制,是因为它们更容易被恶意软件利用来隐藏威胁。
这一提议最初由谷歌工程师艾米丽·斯塔克(Emily Stark)在 W3C 邮件列表中提出。
艾米丽提到,当前的计划仅针对 HTTPS 网站上的相关下载行为进行干预,而对于来自 HTTP 网站的相同类型的下载请求则不会采取行动,因为浏览器本身已经在地址栏明确标注了 HTTP 网站的“不安全性”。
另外,该功能目前仅计划应用于桌面版 Chrome 浏览器。艾米丽认为,由于 Android 版本的 Chrome 已具备类似的功能来阻止潜在危险的 APK 文件下载,因此在移动端暂时无需额外调整。
在邮件交流中,艾米丽还鼓励其他浏览器开发者也采纳类似的策略。对此,Mozilla 的发言人回应称:“我们愿意与谷歌等公司深入讨论这些方案。”
请注意,所有图片均保持原样,未作任何改动。
