引起大量投诉后谷歌浏览器已经临时禁用不安全表单(HTTP)的警告功能
谷歌浏览器致力于帮助所有网站迁移到HTTPS加密安全协议 ,如果使用HTTP明文传输协议则可能会被谷歌警告。
例如当加载明文协议的网站时地址栏会显示感叹号,如果从安全连接里加载明文协议内容时同样还是会显示警告。
还有种情况是如果网站采用加密安全协议,但提交表单内容例如账号注册或登录使用明文那么会直接被中断连接。
此时谷歌浏览器会以全屏弹窗形式告诫用户发送的信息不安全,如果用户没有手动点继续则会被阻止继续登录等。
这个功能从设计逻辑上来说倒是合理的,毕竟将用户信息尤其是账号密码通过明文协议进行传送容易被劫持窃取。
但在设计过程中谷歌工程师没有考虑到特殊情况,那就是使用加密连接发送用户信息但登录后重定向到明文协议。
其过程是这样的:HTTPS加载 ---- HTTPS表单 ---- 重定向到HTTP URL ,即最后的步骤是跳转到明文传输协议。
谷歌将其认为是明文传输因此忽略加密表单传输而显示硕大的警告,但实际上用户数据是加密传输的并没有风险。
随着谷歌浏览器 87 版的发布这处改进抵达稳定版 ,这导致大量网站尤其是比较老的、复杂的网站遭到巨大挑战。
引起大量投诉后谷歌工程师回应称经检查确认问题,目前已经通过热更新直接撤回这处功能改进等待后续的优化。
考虑到当前临近西方圣诞假期谷歌工程师们都要休假,所以直接回滚该功能是当前最直接也是最快捷的解决办法。
谷歌工程师表示会在明年年初进行优化,然后在1月19日发布的Chrome v88 稳定版里重新启用经过优化的功能。
谷歌工程师也表示仍然强烈建议网站管理员全程进行加密连接,而不是在用户登录后又将用户重定向到明文链接。