Loading

Google suojaa käyttäjiä epäluotettavilta latauksilta Google Chromessa

Julkaisupäivä: Sep 13, 2022
Kuvaus

Google julkaisee vaiheittaisia muutoksia Google Chrome -selaimelle estääkseen yhdistelmäsisällön renderöinnin ja yhdistelmäsisällön lataukset. Tammikuusta 2021 alkaen Google estää HTTP-tiedostojen kuvien, asiakirjojen ja pdf:ien lataukset HTTPS-sivuistoilta oletusarvoisesti.

Artikkeli keskittyy käsittelemään Salesforcen ydintuotteita. Katso seuraaville tuotteille:

Katso muille pilvipalveluilla ja tuotteille Kuinka tämä muutos vaikuttaa muihin pilvipalveluihin ja tuotteisiin osio alta.

 

Mihin se vaikuttaa?

Tämä muutos saattaa vaikuttaa loppukäyttäjien kykyyn käyttää ei-HTTPS-latauksia tai -kuvia, jotka on käynnistetty Salesforcen suojatuilta sivuilta.

  • Kuvat

Rikkoutunut kuva näkyy sisällölle, jossa on kuva tai video, jota isännöidään suojaamattomalla HTTP-sivulla ja sitä tarkastellaan suojatulta HTTPS-sivulta. 

  • Lataukset

Tuloksena on virhe, kun suojatulta HTTPS-verkkosivulta napsautetaan linkkejä tai liitteitä, joita isännöidään suojaamattomalla HTTP- tai FTP-sivustolla.

 

Mitä sinä voit tehdä?

Tarkastele mukautettua sisältöä ja varmista, että se toimitetaan suojatulla HTTPS-isännällä. HTTPS käyttää siirrossa olevien tietojen (TLS) salausta estääkseen esimerkiksi väliintulohyökkäykset. HTTPS:n määritystapa voi vaihdella käytetyn palvelun mukaan. HTTPS:n määrittämiseen löytyy apua yllä olevista palvelukohtaisista linkeistä. Lue lisätietoja Google Chrome -blogista.
 

Kuinka muutos vaikuttaa muihin pilvipalveluihin ja tuotteisiin?

Salesforcen teknologiatiimi arvioi kuinka muutos vaikuttaa sen tuotteisiin eri pilvipalveluissa, ja päivittää tätä artikkelia uuden tiedon tullessa.
 

Commerce Cloud 

Tarkista mukautetut sähköpostimallisi yhdistelmäsisällön varalta. Muutos vaikuttaa ainoastaan asiakkaan hallinnoimiin mukautettuihin sähköpostimalleihin.
 

Industries Cloud

Vlocity 

Tarkista mukautettu käyttöliittymä ja Apex-luokat mahdollisten yhdistelmäsisältöjen varalta. Mukautettuun käyttöliittymään sisältyvät Visualforce-sivut, Aura-komponentit ja LWC- tai HTML/CSS/JS-sisältö suojatun isännän toimittamana. Tarkista mukautetuille Apex-luokille URL-muuttujat, jotka on määritetty koodissa, datassa tai vastaanotettu ulkoisilta API:eilta ja jotka on upotettu ja renderöity käyttöliittymään. Mikä tahansa upotettu ja HTTP:n toimittaman suojaamattoman sisällön URL voidaan poistaa tai korvata suojatulla HTTPS-isännällä.
 

Experience Cloud (aiemmin Community Cloud) 

Tarkasta Visualforce-sivusi, lightning-komponenttisi ja yhteisön kokoonpano varmistaaksesi, että ne eivät käytä yhdistelmäsisältöä. Varmista, että linkit, jotka osoittavat komponenttiesi luomaan tai määrittämään ladattavaan sisältöön käyttävät HTTPS:ää.

Salesforcen CMS-sisältö
Käytä ulkoisesti viitatulle medialuonnille suojattua ”https://”- URL:ää, jotta sisältösi kaikki toiminnot pysyvät kunnossa. Ulkoinen viittausmedia, joka käyttää suojaamatonta URL:ää, ei enää näytä automaattisesti pikku- ja esikatselukuvia.

 

Miksi Google tekee tämän muutoksen?

Epäluotettavat lataukset ovat riski käyttäjän tietoturvalle ja yksityisyydelle. Hyökkääjät voivat esimerkiksi vaihtaa epäluotettavat lataukset haittaohjelmistoihin. Ja he voivat salakuunnella käyttäjien suojaamattomasti ladattuja tiliotteita. Google aikoo estää epäluotettavat lataukset Chromessa näiden riskien estämiseksi. Google ilmoitti, että Chrome tulee jatkossa varmistamaan, että suojatut sivut (HTTPS) lataavat vain turvallisia tiedostoja. Chrome aloittaa yhdistelmäsisällön latausten (suojatuilta sivuilta käynnistetyt ei-HTTPS-lataukset) estämisen aikajanaosiossa kuvattujen vaiheiden mukaisesti. Tämä muutos noudattaa Googlen viime vuonna ilmoittamaa suunnitelmaa, jonka mukaisesti kaikki suojaamattomat aliresurssit estetään suojatuilla sivuilla. Aluksi Google keskittyy suojatuilta sivuilta käynnistettyihin epäluotettaviin latauksiin. Nämä tapaukset ovat huolenaiheita, koska Chrome ei tällä hetkellä ilmoita käyttäjälle, että hänen yksityisyytensä ja tietoturvansa on vaarassa.

 

Mistä saan lisätietoa?

Katso lisätietoja Googlen suunnittelemasta aikataulusta Google Chrome -blogista.

Ratkaisu

Usein kysytyt kysymykset:

Mikä on yhdistelmäsisältö?

Selaimet renderöivät verkkosivuja kahden protokollan perusteella: HTTP:n ja HTTPS:n. HTTPS-protokollaa noudattava verkkosivusto on paljon turvallisempi kuin HTTP-protokollaa käyttävä. HTTPS-sivustot on salattu, mikä varmistaa todennuksen toimivuuden, datan eheyden ja yksityisyyden. Mutta jotkin verkkosivut lataavat HTTPS- ja HTTP-sisältöä samalle sivulle, mitä kutsutaan yhdistelmäsisällöksi. Useimmilla yhdistelmäsisältöä olevilla sivustoilla on ulkoisia resursseja, kuten kuvia, videoita, tyylisivuja tai komentosarjoja, jotka ladataan HTTP-toimialueen kautta. Vaikka alkuperäinen pyyntö lähetetään HTTPS-muodossa, sivuston näytetään olevan epäluotettava, kun yhdistelmäsisältöä renderöidään Google Chrome -selaimessa, koska HTTP-resurssit voivat olla haitallisia käyttäjille. 

 

Mikä on tämän muutokset aikataulu?

Google Chromen suunnittelema julkaisu alkaa selaimessa näytettävällä varoituksella ja päättyy yhdistelmäsisällön latausten estämiseen. Google Chromen julkaisuaikataulu on seuraavanlainen. 

Sisällön tyyppi

Esimerkkejä tiedostoista

Selaimen varoitus

Estetään

Suoritettavat ohjelmat

exe, apk

Chrome 84 (elokuu)

Chrome 85 (syyskuu)

Arkistot

zip, iso

Chrome 85 (syyskuu)

Chrome 86 (lokakuu)

Asiakirjat

pdf, docx

Chrome 86 (lokakuu)

Chrome 87 (marraskuu)

Multimedia

png, mp3

Chrome 87 (marraskuu)

Chrome 89 (tammikuu 2021)

 

Mitä siihen ei sisälly?

1. Vain HTTP-muotoiset sivustot/URL-osoitteet

Vaikutus näyttää koskevan vain suojatuilla sivuilla näytettävää suojaamatonta sisältöä. HTTP-muotoinen sivu, joka näyttää vain HTTP-sisältöä, saattaa toimia oikein.

2. HTTP-sivun lataaminen

Muutos ei estä HTTP-muotoisen sivuston lataamista tai sähköpostin renderöintiä sähköpostisovelluksessa ilman Transport Layer Security -menetelmää (TLS-salausta). Eli HTTP-muotoiset sivut, joilla ei ole HTTPS:ää, toimivat edelleen.

Knowledge-artikkelin numero

000389288

 
Ladataan
Salesforce Help | Article