Google和Firefox的網(wǎng)絡(luò)瀏覽器即將更新，之后用戶在瀏覽不安全的網(wǎng)站時將會收到警告信息。2017年1月發(fā)布的Chrome 56和Firefox 51將成為提供警告信息的首個常規(guī)版本。

Google多次發(fā)出公告，從Chrome 56版本開始，如果用戶訪問需要輸入密碼或信用卡信息的非HTTPS網(wǎng)站，會在URL欄顯示這是不安全網(wǎng)站的警告。首個版本提供的警告信息比較小，可能用戶不仔細(xì)看就不會注意到，但是后面的版本中將逐步加強警告。

圖片來源：https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

在文章中，他們指出目前網(wǎng)站顯示的內(nèi)容可能會給用戶帶來安全性錯覺：

Chrome目前中立地提示HTTP連接，但這并沒有正確反映出HTTP連接缺乏安全性。當(dāng)你通過HTTP加載網(wǎng)站時，網(wǎng)絡(luò)上的其他人可以在頁面加載出來之前查看或修改網(wǎng)站內(nèi)容。

這和目前Chrome在使用HTTPS的網(wǎng)站旁邊顯示“安全”提示的方式比較相似。

　　Mozilla安全工程師Tanvi Vyas稱，僅僅通過HTTPS提交表單是不夠的：

我們收到了很多這個問題。盡管通過HTTPS而不是HTTP進(jìn)行傳輸可以防止網(wǎng)絡(luò)竊聽者看到用戶的密碼，但它不能阻止活動的MITM攻擊者從不安全的HTTP頁面上提取密碼。攻擊者可以獲取網(wǎng)站給用戶提供的HTML內(nèi)容，并將竊取用戶的用戶名和密碼的javascript代碼添加到HTML頁面中。

Google提供了一個頁面，協(xié)助開發(fā)人員獲得不安全的警告信息，包括下載最新版本的Chrome Canary來測試他們的網(wǎng)站。

Chrome只允許通過HTTPS提供的含有密碼和信用卡信息輸入字段的網(wǎng)站可以不顯示警告信息。如果表單字段在iframe中，那么整個框架和頂級頁面都需要通過HTTPS保護(hù)。在之后的版本（待確定）中，Chrome會將即使沒有密碼和信用卡信息輸入字段的非HTTPS的網(wǎng)站也都標(biāo)記為“不安全”。希望開發(fā)人員和網(wǎng)站所有者能設(shè)法消除這個警告信息，并通過HTTPS提供所有網(wǎng)頁。以后的警告將會更加顯眼，會用紅色的文字顯示不安全信息。

圖片來源：https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

查看英文原文：Chrome and Firefox Start Warning of Insecure Sites