Loading

Google beskytter brugere mod usikre downloads i Google Chrom

Udgivelsesdato: Sep 13, 2022
Beskrivelse

Google udruller gradvise ændringer til Google Chrom-browseren for at blokere for gengivelse af blandet indhold og downloads med blandet indhold. Startende i januar 2021 blokerer Google som standard download af billeder, dokumenter og pdf-filer fra HTTPS-websteder.

I denne artikel fokuseres der på Salgsforce-kerneprodukter. For følgende produkter henvises kan du se:

Og for andre clouds og produkter henvises du til afsnittet Hvordan påvirker denne ændring andre clouds og produkter? nedenfor.

 

Hvad påvirkes?

Denne ændring kan påvirke dine slutbrugeres mulighed for at få adgang til ikke-HTTPS-downloads eller billeder, der er startet på sikre sider i Salesforce.

  • Billeder

Der vises et ødelagt billede for indhold som f.eks. et billede eller en video, der hostes på en ikke-sikret HTTP-side, når den vises på en sikker HTTPS-side. 

  • Downloads

En fejl, der er et resultat af links eller vedhæftninger, der hostes på et ikke-sikret HTTP- eller FTP-websted, når der klikkes på dem fra en sikker HTTPS-webside.

 

Hvad kan du gøre?

Gennemse dit tilpassede indhold, og sørg for, at det vises via en sikker HTTPS-vært. HTTPS bruger kryptering af data under overførsel (TLS) til at forhindre angreb som f.eks. man-in-middle. Metoden til at konfigurere HTTPS kan ændres på basis af den tjeneste, du anvender. Brug de tjenestespecifikke links ovenfor for at få yderligere vejledning om konfiguration af HTTPS. Hvis du ønsker yderligere oplysninger, kan du se Google Chrome-bloggen.
 

Hvordan påvirker denne ændring andre clouds og produkter?

Salesforce Technology-teams har vurderet, hvordan denne ændring påvirker deres produkter på tværs af clouds og planlægger at opdatere denne artikel, efterhånden som der bliver flere oplysninger tilgængelige.
 

Commerce Cloud 

Gennemse dine tilpassede mailskabeloner for blandet indhold. Kundekontrollerede tilpassede mailskabeloner er det eneste område, der påvirkes af denne ændring.
 

Industries Cloud

Velocity 

Gennemse tilpasset udviklet UI og tilpassede Apex-klasser for potentielle problemer med blandet indhold. Tilpasset udviklet UI omfatter Visualforce-sider, Aura-komponenter og LWC eller HTML/CSS/JS-indhold, der vises via en sikker vært. For tilpassede Apex-klasser skal du kontrollere for URL-variabler angivet i kode, i data eller modtaget fra eksterne API'er, der integreres og angives i UI. Alt indlejret usikkert indhold, der vises via en HTTP-URL, kan fjernes eller erstattes med en sikker HTTPS-vært.
 

Experience Cloud (tidligere Community Cloud) 

Gennemgå dine Visualforce-sider, Lightning-komponenter og fællesskabskonfigurationer for at sikre, at de ikke bruger blandet indhold. Sørg for, at links, der peger på indhold, der kan downloades, der oprettes og konfigureres i dine komponenter, bruger HTTPS.

Salesforce CMS-indhold
Til oprettelse af medier, der refereres til eksternt, skal du bruge "https://"-URL'er for at vedligeholde fuld funktionalitet for dit indhold. Eksterne referencemedier med usikre URL'er viser ikke længere deres miniaturebilleder og eksempelvisninger som integreret.

 

Hvorfor foretager Google denne ændring?

Usikre downloads udgør en risiko for brugernes sikkerhed og beskyttelse af personlige oplysninger. Usikre downloads kan f.eks. byttes ud med malware af kriminelle. Og smugkiggere kan læse brugernes usikrede downloadede bankopgørelser. Google har planer om i sidste ende at fjerne understøttelse af usikre downloads i Chrome for at håndtere disse risici. Google har annonceret, at Chrome gradvist vil sikre, at sikre sider (HTTPS) kun downloader sikre filer. I en række trin, der er skitseret i afsnittet om tidsrammer, vil Chrome starte med at blokere downloads med blandet indhold, dvs. ikke-HTTPS-downloads, der er startet på sikre sider. Dette trin følger en plan, som Google annoncerede sidste år om at blokere alle usikre underressourcer på sikre sider. Til en start fokuserer Google på usikre downloads, der er startet på sikre sider. Disse tilfælde giver anledning til bekymring, fordi Chrome på nuværende tidspunkt ikke fortæller brugeren, at deres beskyttelse af personlige oplysninger og sikkerhed er i fare.

 

Hvordan får jeg flere oplysninger?

Læs Google Chrome-bloggen for at få detaljerede oplysninger fra Google samt oplysninger om den forventede tidsramme.

Løsning

Ofte stillede spørgsmål:

Hvad er blandet indhold?

Websider gengives af browsere på basis af to protokoller: HTTP og HTTPS. Et website, der følger HTTPS-protokollen, er meget sikrere end et, der bruger HTTP. HTTPS-aktiverede sites krypteres, hvilket sikrer godkendelse, dataintegritet og hemmeligholdelse. Men nogle websites indlæser HTTPS- og HTTP-indhold på den samme side. Dette kaldes blandet indhold. De fleste sites, der har problemer med blandet indhold, indeholder eksterne ressourcer som billeder, videoer, typografiark, scripts, der indlæses via HTTP-domænet. Selvom den indledende anmodning sendes som HTTPS, vises sitet som usikkert, så snart det blandede indhold gengives i Google Chrome-browseren, da der er risiko for, at HTTP-ressourcerne kan skade brugerne. 

 

Hvad er tidslinjen for denne ændring?

Google Chrome-udrulningen starter med en browseradvarsel og fortsætter derefter til blokering af downloads af blandet indhold. Planen for Google Chrome-udrulningen er som følger. 

Indholdstype

Fileksempler

Browseradvarsel

Blokering

Eksekverbare filer

exe, apk

Chrome 84 (aug)

Chrome 85 (sep)

Arkiver

zip, iso

Chrome 85 (sep)

Chrome 86 (okt)

Dokumenter

pdf, docx

Chrome 86 (okt)

Chrome 87 (nov)

Multimedier

png, mp3

Chrome 87 (nov)

Chrome 89 (jan 2021)

 

Hvad er ikke inkluderet?

1. Kun HTTP-sites/URL'er

Påvirkningen lader til at være specifik for ikke-sikret indhold, der vises på sikre sider. En side udelukkende med HTTP, der kun viser HTTP-indhold, mislykkes sandsynligvis ikke.

2. Indlæsning af HTTP-side

Ændringen blokerer ikke indlæsning af et site på kun HTTP eller gengivelse af en mail i en mailklient uden nogen TLS (transport layer security). Så siden udelukkende med HTTP, der ikke har nogen HTTPS, fortsætter med at fungere.

Vidensartikelnummer

000389288

 
Indlæser
Salesforce Help | Article