谷歌的工程师们正在寻找一个解决 HTTPS 混合内容(mixed content)错误的方法,他们现在似乎有了正确的想法……
Chrome 团队将在这周进行一项实验,试图给 Mozilla 去年也试图解决的 HTTPS 问题找到解决方案。该问题被称为“混合内容”,谷歌将其描述如下:
初始的 HTML(一个网页)通过安全的 HTTPS 连接加载,但其他资源(如图像、视频、样式表、脚本)则通过不安全的 HTTP 连接加载的时候,混合内容就会出现。之所以被称为混合内容,是因为 HTTP 和 HTTPS 内容都被加载显示在同个页面,并且初始请求在 HTTPS 上是安全的。现代浏览器会显示有关这种类型内容的警告,以向用户表示当前页面包含着不安全的资源。
过去的几年里,混合内容对于推动着 HTTPS 采用的浏览器制造商和其他组织来说,一直是个大问题。混合内容浏览器的错误,很多时候会被认为是阻止用户访问一个网站。这也使得许多网站运营商不敢迁移到 HTTPS,他们担心会因为支持 HTTPS 而失去流量收入这个实实在在的好处。这样看来,解决 Web 浏览器中出现的混合内容错误,很可能是说服网站运营商转向 HTTPS 最后的主要障碍。
在本周,谷歌工程师在 Chrome上 推出了一项实验,可以将浏览器配置为自动升级任何混合内容到完整的 HTTPS。Chrome 可以通过秘密地将资源的URL(如图像、视频、样式表、脚本)从 HTTP 版本更改为 HTTPS 替代版本来实现这一点。如果 HTTPS 链接上存在相同的资源,那么所有内容都会正常加载。如果替代 HTTPS link 上不存在资源,Chrome 将记录错误并执行为本实验配置的多种方案中的一种(详见该文档)。
一般情况下,网站所有者更新他们的网站以使用 HTTPS 时,他们可能忘记更改一些网站源码,导致一些内容留给了 HTTP 加载,而这些内容可能通过 HTTPS 加载也是可行的。
这个实验目的是让谷歌工程师能够看到,如果 Chrome 默认将所有混合内容站点自动更新为 HTTPS,会有多少网站崩溃,什么是破坏混合内容 HTTP URLs 的最佳回退策略。如果链接和网站被破坏的比例很小,谷歌工程师很可能会考虑在 Chrome 浏览器中推出这种自动更新到 HTTPS 的功能,朝着更安全的网络迈出又一步。
目前,谷歌打算在大约 1% 的 Chrome Canary 用户群(启用了 chrome://flags/#enable-origin-trials 标志的用户)推出这项实验。
据了解,谷歌的实验不会是第一次,在去年 Mozilla 在 Firefox 中就使用了类似的混合内容自动更新,并进行了测试。谷歌安全工程师 Emily Stark 表示:“他们发现了很多破损(breakage),我们希望这次实验情况能有所改善。”此外,关于混合内容处理的其他实验,也在计划中。via oschina
