为进一步加固浏览器的安全防线，近日，Google 再次行动，并于 Chromium 官方博客上宣布，为逐步确保安全页面（HTTPS）下载安全文件，Chrome 浏览器计划开始阻止“混合内容下载”（简而言之，阻止不太安全的非 HTTPS 内容下载）。

事实上，就 Google 此举，对于不少开发者而言，属于意料之中。毕竟早在 2018 年，Google 在 Chrome 68 中就启用了警告信息，即当加载非 HTTPS 网站时，Chrome 浏览器会将其标记为“不安全”。

如今，Chrome 开始阻止安全页面上的所有不安全子资源就是 Google 的下一步计划。至于为何如此，究其缘由，Google 解释道，不安全下载的文件会涉及威胁用户的安全和隐私。譬如，攻击者可以将不安全的程序换为恶意软件，用户通过不安全的链接下载之后，黑客可读取用户个人隐私等信息。因此，为了解决这些风险，Google 计划在 Chrome 不断迭代的版本中，彻底消灭非 HTTPS 的下载页面。

基于此，Google 将从 Chrome 82 开始（将于 2020 年 4 月发布），逐渐开始对页面进行警告并相继阻止这些混合内容的下载。在这一过程中，对用户构成最大风险的文件类型（如可执行文件）将首先受到影响，随后的发行版将涵盖更多文件类型。

对此，Google 针对桌面平台（Windows、macOS、Chrome OS 和 Linux）设下了六步：

1. Chrome 81（将于2020年3月发布）：显示控制台消息，警告所有混合内容下载；

2. Chrome 82（将于2020年4月发布）：警告可执行文件（例如.exe）的混合内容下载；

3. Chrome 83（将于2020年6月发布）：阻止混合内容可执行文件；警告混合内容档案（.zip）和磁盘镜像（.iso）；

4. Chrome 84（将于2020年8月发布）：阻止混合内容的可执行文件；归档文件和磁盘镜像；

5. Chrome 85（将于2020年9月发布）：警告下载图像、音频、视频和文本的混合内容，阻止所有其他混合内容下载；

6. Chrome 86（将于2020年10月发布）：阻止所有混合内容下载。

直至最终，针对 Android 和 iOS 平台，Chrome 会推迟一个版本，从 Chrome 83 开始发出警告。这主要是因为移动平台本身具有更好的本机保护机制，可抵御恶意文件，这种延迟可以给开发者足够的时间，以便不安全的网站在影响移动用户之前先开始更新网站。

在此，我们也不禁猜测，继这一动作之后，Google 或许会针对所有的非 HTTPS 网站再做一次彻底地清理，直至消失。

最后，针对这一举措，你怎么看？

【End】