浏览器高级功能仅限HTTPS加密
1月15日,Mozilla发布公告,Firefox上所有网络公开功能仅限HTTPS加密环境下提供。Mozilla博客上写道:“所有网络公开的新功能仅限于安全内容(Secure Contexts),立即生效。”目前,FireFox已经对部分功能要求仅限HTTPS,比如获取地理位置(Geolocation),但从现在起,所有网页新功能都将被限制仅在HTTPS加密的环境下提供。
安全内容(Secure Contexts)的重要性
随着web平台功能的不断扩展,使更多有用和强大的应用程序成为可能,网站开始在浏览器上提供一些类似移动APP的功能,比如支持网络摄像头、本地数据存储、地理定位、付款请求API等等。
这些高级功能丰富了Web程序的使用体验,但是也存在必然的安全风险,如果这些功能被中间人攻击,或遭遇其他网络干扰或篡改,将带来严重安全威胁。设想一下,如果一个用户连接到你的网站上,网络上的其他人就可以利用你来访问监听用户的摄像头或麦克风,或者更糟糕的是,攻击者可以直接用HTTP注入来伪造一个用户网络摄像头的访问请求。
确保高级功能仅在满足最低安全级别的环境中才能启用变得越来越重要,程序通过HTTPS认证加密通道安全地访问敏感数据或隐私数据是一个必要的先决条件。HTTPS的主要工作是保护网站和浏览器之间的安全连接,而这些高级功能同样需要HTTPS加密保护,防止中间人攻击、流量劫持和敏感数据泄露。
最初是谷歌在2014年建议浏览器仅在安全来源下允许特定功能启用,“安全内容(Secure Contexts)”的概念是从谷歌最初的这个概念演变而来,并由W3C定义规范,希望把这些高级浏览器功能的安全访问变成互联网标准。目前,一些新功能和标准已经被设计为从发布之初就使用HTTPS加密,比如下一代HTTP/2协议。其他主要标准,如Brotli(一种比gzip性能更好的压缩算法)以及谷歌的AMP,也都是围绕着HTTPS支持而设计的。
什么是安全内容(Secure Contexts)
W3C定义的“安全内容(Secure Contexts)”是指当顶级浏览内容没有存在于不安全的开放浏览环境中时,这些内容是安全的。通过HTTPS加密访问内容资源被认为是“安全内容”,通过HTTP明文访问内容资源被认为是“不安全内容”,而从HTTP页面访问HTTPS资源或嵌套HTTPS资源,以及从HTTPS页面访问HTTP资源或嵌套HTTP资源等情况,都会使得内容存在于不安全的环境中,都被认为是“不安全内容”。简而言之,所有页面(包括父页面及打开页面)都必须安全传输内容,才称为“安全内容”。
(图片来源:W3C)
如果网页包含不安全内容,浏览器将会以独特的标识标记网页并警示用户。
哪些高级功能仅限“安全内容”?
Firefox宣布高级功能仅限“安全内容”并不是个例,早在去年7月,谷歌也宣布一些仅限使用HTTPS加密的Chrome功能。下图为目前仅限“安全内容”的浏览器高级功能列表。
(图片来源:Mozilla开发者中心)
目前,所有的主流浏览器都要求网站使用HTTPS加密。这意味着,如果你还在用未加密的HTTP协议,那这些高级新功能就和你的网站无关了。网站推送通知、允许网站安装应用、信用卡自动填充和付款API等新功能,有效地利用用户参与度实现网站转化,带来切实的商业利益。沃通CA提供全线SSL证书产品和HTTPS加密升级方案,帮助您安全地实施浏览器高级功能,提升网站功能体验。咨询沃通快速获取最适合您网站的HTTPS升级方案。
沃通WoTrus原创整理,转载请注明来源
https://www.wosign.com/news/firefox-https-secure-contexts.htm