首页>安全资讯>仅限使用HTTPS加密的Chrome功能

仅限使用HTTPS加密的Chrome功能

为了保证用户的安全,Chrome限制很多功能只能使用“安全来源”,这意味着只有当你的网站使用HTTPS连接时,这些功能才是可用的。

这是谷歌倡导的一部分“反对不安全来源的强大功能”,简单的说,这意味着浏览器功能访问你的设备(本地存储或移动电话)或敏感的用户数据时,只能使用HTTPS安全连接。

这适用于现有的功能和API以及新的功能,例如谷歌支持的Service Worker API,其设计的初衷是只能在安全的环境下使用。

安全来源或安全内容包括各种方案和主机,其中最流行的是HTTPS和Localhost。所有安全来源均由谷歌在此定义,还有一个W3C规范,为那些喜欢阅读互联网标准的人提供安全内容的定义。

但这些功能还没有给出特定的删除日期/版本,这是因为Chrome的开发人员会根据功能使用的真实情况,并可能决定延迟删除,直到开发人员做好准备。一般来说,他们希望等到不安全使用该功能的情况降至0.03%以下,才能禁止该功能使用不安全来源。

跟踪细节可能有点困难,所以我们已经整理出一个“仅限使用安全来源”的功能列表,看看哪个功能在要求之列。

什么才是强大的功能?

根据谷歌的定义,处理个人身份信息、处理高价值信息(如凭证或支付工具),或在UA信赖/本地UI或访问用户设备上的传感器方面提供原始控制权,或任何可以提供用户设置权限或特权的功能。

在去年的Wired采访中,Chrome安全主管之一解释说,为了和移动app竞争,谷歌希望让web页面能够更深入地获取计算机资源,访问App经常使用的同类敏感信息,如地理位置和离线数据等。但是如果web进一步扩展到我们的私人生活中,他们首先需要确保安全。这涉及到一系列使chrome更加安全的举措,保护强大功能的安全就是其中一部分。

请注意,下列强大功能的列表将随着时间的推移而增加,任何要求用户授予权限的功能都属于强大功能。

仅限安全来源

这些功能目前仅限于HTTPS或其他安全来源。

Feature/API

When?

Notes

getUserMedia

(网络摄像头和麦克风)

Version 47

December 2015

/

Geolocation

(地理位置)

Version 50

April 2016

谷歌已发布公告

EME(加密媒体扩展)

Version 58

April 2017

Chrome Bug Tracker

Service Workers

Version 40

January 2015

自从初步介绍以来就需要HTTPS

Web Bluetooth

Version 56

January 2017

自从初步介绍以来就需要HTTPS

WebCrypto

Version 37

August 2014

自从初步介绍以来就需要HTTPS

 

未来变化

这些功能将在即将推出的Chrome版本中仅限于HTTPS或其他安全来源。

Feature/API

When?

Notes

Application

Cache(AppCache)

N/A

AppCache 已经完全被弃用,不再推荐,就算使用HTTPS也是。应该替换使用Cache API,它是Service Workers的一部分。在Chrome中,AppCache API 自2016年7月发行的52版本已经被移除。

Device Motion /

Orientation

N/A

 

Fullscreen

N/A

 

Notifications

Version 61

September 2017

官方平台状态

使用时显示的控制台警告

原文来源:国外网站 沃通翻译整理

相关资讯:

还没部署HTTPS?谷歌Chrome将为所有 HTTP网站打红叉

现在,Chrome浏览器准备公开执行这一标准了。HTTP是目前互联网上使用最广泛的传输协议,但是它没有安全加密功能,很容易遭遇劫持,导致用户流量、隐私被窃。HTTPS则会全程...

Chrome和HTTPS联手打造安全Web之门

Web安全事关互联网用户的信息安全乃至财产安全,它的重要程度已不可同日而语。然而是否每个用户对他们所处的网络环境都了如指掌?是否每个网站都积极采...

Chrome 67中呈现API将仅支持HTTPS

近日,谷歌工程师宣布将在2018年第二季度发布的Chrome 67中禁止一切使用不安全来源的呈现API(Presentation API)。Presentation API, 即呈现API,是一个能...

强制Google.com域名遇http链接使用https访问设置方法

倘若您想要撤销上述变更,例如您想要取消对Google.com的强制https连接,请同样前往chrome://net-internals/#hsts,这一次,在下方的“Delete Domain” 区域...

地理定位API未使用HTTPS加密 Chrome 50版不支持连接

从谷歌Chrome 50版本开始,地理定位API没有使用HTTPS加密的web应用,将无法正常使用。根据谷歌发布的日历,50版本应该会在今年4月的最后一周发布,建议尚未启用HTTPS的...