Chrome 68会向所有HTTP网站发出“警告信息”
|
先看4个短视频来了解一下,每个视频大约5分钟,通过重定向到安全连接,几乎任何网站都可以安全的访问到这些视频,这从视频字幕已被翻译成16种不同的语言就可以看出,HTTPS比以往任何时候都更容易被人们访问到。 避免WiFi Pineapple这样的神器自动访问静态网站 The WiFi Pineapple是由国外无线安全审计公司Hak5开发并售卖的一款无线安全测试神器(俗称大菠萝),不仅可以轻松的作为无线热点使用,而且可以欺骗设备,使其认为它是一个已知的网络,且无需任何用户交互即可自动连接。升级为HTTPS后,WiFi Pineapple这样的神器再也无法自动访问静态网站了。 方便了ClippyJS和Cornify这样的个性化操作 Clippy.js是一个纯JavaScript实现的微软Office卡通助手,你可以方便的把它嵌入到任何网页上。静态网站使用了HTTPS后,Troy Hunt用ClippyJS做了测试,如果你真的喜欢个性化网页安全警告,ClippyJS这样的操作在HTTPS中,会有更好的操作空间。 而Cornify则会让所有喜欢独角兽和彩虹图案的网友把任何网页“独角兽化”,且在HTTPS中,网站会提供完整的Cornify按钮。 更好的使用Harlem Shake Harlem Shake经常被拿来用作在易受攻击的网站上运行脚本的“证明”。例如,查看嵌入在DNS条目的TXT记录中时的使用方式,然后将其加载到未正确输出编码结果的WHOIS服务中。 避免被秘密挖矿 Troy Hunt使用了Coinhive进行测试,HTTP状态下,Coinhive会轻松的使用用户的CPU秘密挖矿。而使用HTTPS,则会让秘密挖矿更难以实施。 避免被跨站请求伪造这样的漏洞劫持 比如,Intex N150设备中的路由器固件存在跨站请求伪造漏洞(CVE-2018-12529 ),远程攻击者可利用该漏洞更改用户密码及路由器的设置。Troy Hunt们经常看到针对路由器的CSRF攻击导致DNS劫持,这当然是HTTPS防范的另一个重点。 避免被DNS劫持 在传统的HTTP页面中,很容易发生DNS劫持吗,比如在OnBeforeRequest事件中,只需要使用以下几行FiddlerScript即可完成DNS劫持。 如果你使用了如Wifi Pineapple的设备,你可以使用DNSspoof获得相同的结果。此时,用户会重定向到一个完全不同的地址。DNSspoof启用DNS欺骗,如果是请求解析某个域名,DNSspoof会让该域名重新指向另一个IP地址(黑客所控制的主机),如果DNSspoof嗅探到局域网内有DNS请求数据包,它会分析其内容,并用伪造的DNS响应包来回复请求者。如果是反向IP指针解析,DNSspoof也会返回。如果是请求解析某个域名,Dnsspoof会让该域名重新指向另一个IP地址(黑客所控制的主机),如果是反向IP指针解析,dnsspoof也会返回一个伪造的域名。 避免出现超级加农炮(The Great Cannon)这样的攻击 《华尔街日报》曾在2015年29号报道,美国社交编程及代码托管网站GitHub遭到大规模的流量攻击,当时就有人分析,过滤入境流量的防御性的GFW防火墙正逐步演变成进攻性的大炮。他们将这个攻击形象比喻为超级加农炮(The Great Cannon)。这次针对GitHub的DDoS攻击,持续了5天之久,多次导致GitHub宕机。更有甚者认为该攻击疑似来自中国的百度,而Troy Hunt认为只要当时GitHub使用了HTTPS防范机制,就完全可以避免这样的攻击。 避免出现BeEF攻击 对Troy Hunt来说,静态网站启用HTTPS后,最重要的是避免出现BeEF攻击。 据悉,只要遇到潜在不安全的站点,Chrome都将开始发出警告信息,虽然会对日常使用造成影响,但这确实是对安全很有帮助。比如这个在YouTube上观看量达到5亿次的视频,都开始使用https了。但对有些经常使用的网站,如ESPN,则可能会受到安全提示,尽管它是一个优良网站。
Chrome 68除了标记出不安全的HTTP网站,还附加了很多强大的安全功能堪比小型杀毒软件 两种广告防御机制 从Chrome 69开始(预计今年 9 月发布),如果网页缺乏安全防护,HTTP/HTTPS页面上就只会显示“不安全”的标记了,而HTTPS网页上的“安全”标记则会被移除。
据Cloudflare推测,全世界流量排在前100万名得网站中,有542605个网站都还没有使用HTTPS,这也就意味着,用户使用Chrome 68访问网页时,见到“不安全”的标记就很常见了。 另外,Chrome 68还增加了两种全新的恶意广告防御机制。 首选,Chrome现在能拦截臭名昭著的iframes(通常会嵌入在网页中)了,iframe会将整个父页面重定向到另一个URL。自Chrome 64以来,Google就开始逐步采取对策了,不过在Chrome 68中才算正式实施。 当然,iframe并没有被Chrome完全禁止,只有当用户直接与iframe交互时,才允许iframe将主页重定向到新网址。这是由于恶意广告中使用的大多数iframe通常都在屏幕外单独出现,因此此防御机制可以阻止恶意广告将用户重定向到新网站,同时仍允许单点登录(SSO)登录页面或类似技术按预期工作。如果用户愿意和它互动,它也可以对页面进行重新定向。不过整体来说,这一改变确实对拦截恶意广告起了巨大作用。 其次,Chrome现在还完全阻止了Tab-under行为。Tab-under是指当用户点击一个链接,网站会用另一个标签页打开新的URL,而老的标签页不但不关闭,并在其中加载包含大量广告的网址,Tab-under技术近年来已经泛滥成灾,急需处理。 去年Google首次公布了tab-under拦截功能,第一个Tab-under拦截机制也随Chrome 65一同被发布。而Chrome 68则正式将这一拦截功能加入到其中,浏览器每次拦截到Tab-under行为,都会在警告用户。
阻止第三方软件注入Chrome进程 另外,Chrome 68发布的另一个里程碑意义是,它自己本身就具备了杀毒软件的功能。Chrome 68试图阻止第三方软件(大多数为杀毒软件)在Chrome主进程中植入代码,而现在这项工作进入第二阶段了,而第一阶段则是在去年11月实施的。 当时Google就表示Chrome 68将开始阻止第三方软件注入Chrome进程。如果阻止过程妨碍了Chrome的运行,则Chrome将重新启动并允许第三方软件注入,这也与当时这方面的技术成熟度不足有关。不过目前这个阻止第三方软件的计划还不能完全实施,只是会显示警告,建议用户删除企图进行注入的该软件。 按着Google的计划,从2019年1月起,他们会完全阻止第三方软件注入Chrome进程。 API和web开发方面的重大变化 但Chrome 68可不是一次简单的版本升级,你不要以为它只是简单的漏洞修补或是某些细小功能的添加。Chrome 68还对Chrome的底层进行了重新设计和调整,本次最重要的是对API和web开发方面的重大调整。 其中最大的调整是Chrome 68现在支持Payment Handler API了,该API是Google在Chrome 61中添加的付款请求API的附件。它的作用是通过允许浏览器从网站或网络应用程序中减轻一些载荷(以及安全隐患)来简化在线支付的过程,有了Payment Handler API,整个在线支付的过程会简化很多。
此外,Google表示它专门修改了“添加到主屏幕”(Add to Home Screen)的功能,这些都是为了方便开发者的开发,将弹出功能的控制权下放给开发者后,他们就可以更多地控制这些弹出窗口的显示时间和方式,而这些弹出窗口通常用于基于Chrome的移动应用。
除此之外,Chrome 68还有增加了新的Page Lifecycle API,这也是全新的Chrome 68功能,此API将是大多数Web开发人员将来使用的重要功能。有了Page Lifecycle API,开发者就能根据用户设备的“生命周期”(CPU暂停状态、电池状态、浏览器标签状态、前台及后台状态等)对网站进行调整,以提升用户体验,Page Lifecycle API的全部信息都在这里了。 本文翻译自:troyhunt.com/heres-why-your-static-website-needs-https/ bleepingcomputer.com/news/software/chrome-68-released-with-warnings-on-http-sites-but-also-other-security-features/如若转载,请注明原文地址: 4hou.com/web/12774.html 更多内容请关注“嘶吼专业版”——Pro4hou (编辑:好传媒网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
