Loading

Google beskytter brukere mot usikre nedlastinger i Google Chrome

Publiseringsdato: Sep 13, 2022
Beskrivelse

Google ruller gradvis ut endringer i Google Chrome-nettleseren for å blokkere gjengivelse og nedlasting av blandet innhold. Fra og med januar 2021 vil Google blokkere HTTP-filnedlasting av bilder, dokumenter, PDF-filer fra HTTPS-nettsteder som standard.

Denne artikkelen fokuserer på Salesforce-kjerneprodukter. For følgende produkter kan du se:

Når det gjelder andre skyer og produkter, kan du se avsnittet Hvordan denne endringen påvirker andre skyer og produkter nedenfor.

 

Hva blir berørt?

Denne endringen kan påvirke sluttbrukeres tilgang til nedlastinger utenom HTTPS eller bilder som startes på sikre sider i Salesforce.

  • Bilder

Et ødelagt bilde vises for innhold som et bilde eller en video som ligger på en usikker HTTP-side, når innholdet vises på en sikker HTTPS-side. 

  • Nedlastinger

Lenker eller vedlegg som ligger på usikre HTTP- eller FTP-nettsteder, gir feil når det klikkes på dem fra en sikker HTTPS-nettside.

 

Hva kan du gjøre?

Se gjennom det tilpassede innholdet og påse at det blir håndtert av en sikker HTTPS-vert. HTTPS bruker kryptering av overførte data (TLS) for å unngå angrep som «mann-i-midten». Måten å konfigurere HTTPS på kan være forskjellig avhengig av tjenesten du bruker. Bruk de tjenestespesifikke lenkene ovenfor til rettledning om konfigurering av HTTPS. Les Google Chrome-bloggen for å få mer informasjon.
 

Hvordan denne endringen påvirker andre skyer og produkter?

Salesforce Technology har vurdert hvordan denne endringen påvirker selskapets produkter på tvers av skyer og planer for å oppdatere denne artikkelen etter hvert som mer informasjon blir tilgjengelig.
 

Commerce Cloud 

Se gjennom tilpassede e-postmaler som å se om de inneholder blandet innhold. Kundens tilpassede e-postmaler er det eneste området som berøres av denne endringen.
 

Industries Cloud

Vlocity 

Se gjennom egenutviklede grensesnitt- og Apex-klasser for potensielle problemer med blandet innhold. Egenutviklede grensesnitt omfatter Visualforce-sider, Aura-komponenter og LWC- eller HTML/CSS/JS-innhold som leveres via en sikker vert. Når det gjelder tilpassede Apex-klasser, se etter URL-variabler som angis i kode, i data eller mottas fra eksterne API-er som er innebygd og gjengis i grensesnittet. Eventuelt innebygd usikkert innhold som leveres via en HTTP URL, kan fjernes eller erstattes av en sikker HTTPS-vert.
 

Experience Cloud (tidligere Community Cloud) 

Revider Visualforce-sider, Lightning-komponenter og fellesskapskonfigurasjonen for å påse at de ikke bruker blandet innhold. Sørg for at eventuelle lenker som peker til nedlastbart innhold som opprettes eller konfigureres i komponentene, bruker HTTPS.

Salesforce CMS-innhold
Når det gjelder ekstern medieoppretting som det refereres til, bruk sikre "https://" URL-adresser for at innholdet skal beholde full funksjonalitet. Eksternt refererte medier med usikre URL-adresser viser ikke lenger miniatyrbilder og forhåndsvisninger innebygd.

 

Hvorfor gjør Google denne endringen?

Usikre nedlastinger utgjør en risiko for brukersikkerhet og personvern. Usikre nedlastinger kan for eksempel bli byttet ut med skadeprogramvare av angripere. Og avlyttere kan lese brukeres kontoutdrag ved usikker nedlasting. For å gripe fatt i denne risikoen ønsker Google å fjerne støtten for usikker nedlasting i Chrome. Google har kunngjort at Chrome gradvis vil sørge for at sikre (HTTPS-) sider bare laster ned sikre filer. Gjennom en trinnvis prosess som er skissert i tidslinjeavsnittet, vil Chrome begynne å blokkere nedlasting av blandet innhold, dvs. annet enn HTTPS-nedlastinger som startes fra sikre sider. Dette tiltaket er i henhold til en plan som Google kunngjorde i fjor, om å blokkere alle usikre delressurser på sikre sider. I første omgang fokuserer Google på usikre nedlastinger som startes på sikre sider. Disse tilfellene er bekymringsfulle fordi Chrome for øyeblikket ikke underretter brukere om at deres personvern og sikkerhet er utsatt for risiko.

 

Hvor finner jeg mer informasjon?

Les Google Chrome-bloggen for å finne detaljert informasjon fra Google og deres forventede tidslinje.

Løsning

Svar på vanlige spørsmål:

Hva er blandet innhold?

Nettsider som gjengis av nettlesere basert på to protokoller: HTTP og HTTPS. Et nettsted som følger HTTPS-protokollen, er mye sikrere enn et som bruker HTTP. Nettsteder med HTTPS er kryptert og sørger med det for godkjenning, dataintegritet og hemmeligholdelse. Men noen nettsider laster HTTPS- og HTTP-innhold på samme side, såkalt blandet innhold. De fleste nettstedene som har problemer med blandet innhold, inneholder eksterne ressurser som bilder, videoer, stilark og skript som er lastet inn via HTTP-domenet. Selv om den opprinnelige forespørselen sendes som HTTPS, vises nettstedet som usikkert straks det blandede innholdet er gjengitt i Google Chrome-nettleseren, fordi det er mulig at HTTP-ressursene kan være skadelige for brukere. 

 

Hva er tidslinjen for endringen?

Den planlagte Google Chrome-utrullingen starter med en advarsel i nettleseren, og fortsetter med å blokkere nedlasting av blandet innhold. Google Chrome-utrullingsplanen er som følger: 

Type innhold

Fileksempler

Nettleseradvarsel

Blokkerer

Utførbare filer

exe, apk

Chrome 84 (aug)

Chrome 85 (sep)

Arkiver

zip, iso

Chrome 85 (sep)

Chrome 86 (okt)

Dokumenter

pdf, docx

Chrome 86 (okt)

Chrome 87 (nov)

Multimedier

png, mp3

Chrome 87 (nov)

Chrome 89 (jan '21)

 

Hva er ikke inkludert?

1. Nettsteder/URL-adresser med bare HTTP

Tiltaket virker å være rettet spesielt mot usikkert innhold som vises på sikre sider. En ren HTTP-side som viser rent HTTP-innhold, er sannsynligvis ok.

2. Innlasting av HTTP-sider

Endringen blokkerer ikke lasting av et rent HTTP-nettsted eller gjengivelse av e-post i en e-postklient uten TLS (Transport Layer Security). Så rene HTTP-sider uten HTTPS vil fortsatt fungere.

Knowledge-artikkelnummer

000389288

 
Laster
Salesforce Help | Article