Mozilla 的 Firefox 网络浏览器将很快阻止在混合内容环境中下载不安全的文件。
混合内容是指使用安全连接和不安全连接的站点。想象一下以下场景:您访问一个使用 HTTPS 的安全站点并通过单击链接开始下载。链接的资源不在 HTTPS 资源上,而是在 HTTP 资源上;这就是下载上下文中的混合内容所指的内容。
通过不安全连接传输的文件可能会被篡改,例如被网络上的其他参与者篡改。
Firefox 将很快阻止源自 HTTPS 站点的不安全下载,可能会在 2021 年 9 月 7 日发布的 Firefox 92 中阻止。
在这种情况下,Firefox 不会自动下载文件;浏览器在下载面板中显示警告 – 文件未下载。潜在的安全风险 – 带有红色感叹号图标。
单击或点击面板中的下载可打开其他信息和选项。
Firefox 用户可以使用打开或删除文件的提示来允许下载。
阻止只是因为不安全的连接,而不是因为文件有病毒或其他不需要的内容。通过病毒扫描程序或诸如 Virustotal 之类的服务运行文件以确保它是干净的并且可能没有危险仍然是一个好主意。
Firefox 92 带有控制行为的首选项开关。可以关闭以恢复以前的下载行为:
- 在 Firefox 地址栏中加载 about:config。
- 确认您接受风险。
- 搜索 dom.block_download_insecure。
- 使用切换图标将值设置为
- TRUE:保持启用安全功能。
- FALSE:禁用安全功能。
Mozilla 指出,Firefox Nightly 中大约 98.5% 的下载使用 HTTPS。换句话说:一旦更改登陆 Firefox Stable,1000 次下载中有 15 次将被阻止,前提是百分比值大致相同。
今年早些时候,谷歌在 Chrome 86 中引入了在不安全上下文中阻止下载的功能。如果原始页面使用 HTTPS,大多数基于 Chromium 的浏览器都会阻止来自 HTTP 源的下载。如果文件由于源自 HTTP 服务器而无法下载,Chrome 会在下载面板中显示通知。Chrome 用户可以放弃或保留下载,类似于 Firefox 处理这些下载的方式。
