吳明宜Google宣布自明年10月起,Chrome將對未加密的HTTP網站發出警示,要求用戶許可後才能訪問。這項預設的「永遠使用安全連線」設定目的為防範攻擊,保護用戶資料安全。
Google 今天宣布從明年 10 月的 Chrome 154 版開始,在連上未加密連線的公開 HTTP 網站前,會發出警示,請求用戶許可才會造訪。
Google Chrome 從 2021 年就加入可選用的 HTTPS-First 模式,用戶可啟用「永遠使用安全連線」設定,讓瀏覽器優先以 HTTPS 連線造訪網站,並對使用 HTTP 連線的網站發送警示,但用戶還是可以繞過警示而造訪網站。
然而,Google 現在將預設啟用這個設定,確保使用者只以 HTTPS 連線造訪網站,防範中間人 (man-in-the-middle, MITM) 攻擊,導致資料被竊聽,或變更資料。
Google 解釋,若連線不使用 HTTPS,攻擊者可能劫持上網流量,迫使 Chrome 用戶下載任意或攻擊者控制的內容或檔案,將用戶陷於惡意軟體、精準攻擊或社交工程風險。
「永遠使用安全連線」的設定,將從 2026 年 10 月的 Chrome 154 起啟用。這表示,如果 Chrome 碰到網站不支援 HTTPS,則第一次造訪前需請求使用者同意。
Google 也建議網站開發者或 IT 人員預設啟用這項設定,以辨識自己的網站是否需求強化安全性。
2023 年 10 月 Google Chrome 加入了 HTTPS-Upgrades 功能,可自動升級網頁內的 HTTPS 連線,確保所有使用者安全連線,必要時才會降回 HTTPS 連線。
本月稍早 Google 也升級了 Chrome,對其近日未造訪的網站註銷了通知許可,以減少警示量氾濫。
不過,必須注意的是,不表示所有 HTTPS 網站都是安全的,因為它可能被駭客入侵後植入惡意軟體。這就需要用戶終端具備其他防範惡意程式或釣魚網站的安全機制。