Mozilla:让安全文本无处不在
发布日期:2018-01-17自Let's Encrypt推出以来,安全文本变得愈发成熟。我们亲眼目睹了现有安全限制的成功,以及保障文本安全的各种功能。W3C TAG将大幅针对新特性的不安全文本。现在,所有构建模块都可以加快HTTPS的采用和安全文本,并遵循我们的意图,放弃不安全的HTTP。
所有新功能都要求安全文本
现在,所有Web暴露下的新功能都将被限制在安全文本中。Web暴露意味着该特性可以通过网页或服务器观察到,无论是通过JavaScript,CSS,HTTP,媒体格式等。一个特性可以是现有的IDL定义的对象的扩展,新的CSS属性, 一个新的HTTP响应头,更大的功能,如WebVR。相比之下,新的CSS颜色关键字可能不会被限制在安全文本中。
在标准开发中要求安全文本
强烈建议参与标准开发的每个人都代表Mozilla提倡要求所有新功能的安全文本。 任何由此产生的复杂事件应该直接针对安全文本规范提出。
例外的情况
唯一的例外是给dev.platform邮件列表提供正当理由,由Mozilla的工程师来判断该提议是否能豁免,并确保dev.platform邮件列表获取通知。预计在下列情况下将被授予例外:
• 别家浏览器已经以不安全的方式发布了该功能
• 证明使用安全文本会将应用实现复杂化
安全文本及经典功能
从安全性,隐私性或用户体验角度来看,已经在不安全的环境中发布但是被认为比其他问题更加成问题的功能将根据具体情况进行考虑。
要使这些功能专门用于保护文本,应遵循适当删除功能的指导原则。
开发者工具和支持
要确定功能是否可用,开发人员可以依靠功能检测。 例如,通过在CSS中使用@supports at-rule。 我们建议通过self.isSecureContext API,因为它是一个更广泛适用的模式。
有关“安全文本”的具体解释和定义,请参考Mozilla文档。
相关资讯:
部分HTTPS站点受影响,Mozilla暂停SHA-1弃用计划
因部分使用SHA-1新证书的HTTPS站点无法访问,Mozilla将暂时恢复支持脆弱的SHA-1算法,直到找到解决方案避免一些副作用。
作为浏览器行业的巨头,谷歌和Mozilla每一次重要更新都会引起互联网从业者的关注,而二者在年前不约而同的两则公告再一次将人们视线拉到了https加密协议上...
微软谷歌Mozilla三大浏览器 2016放弃对SHA-1证书支持
微软上月表示,他们的浏览器正在考虑放弃使用了SHA-1算法的TLS和SSL证书,在此之前Mozilla也有过相同的计划。近日,谷歌也表示将于明年中期正式放弃Chrome...
谷歌chrome和mozilla firefox都对http站点标记“不安全”
Google Chrome 56 和 Mozilla Firefox 51 均已发布,这些更新带来了一个新功能,那就是出现在地址栏左侧的针对“不安全登录页”的警告标识,此举无疑是...