Loading

Защита пользователей Google от небезопасных загрузок в Google Chrome

Дата публикации: Sep 13, 2022
Описание

Система Google начала развертывание постепенных изменений в обозревателе Google Chrome с целью блокировки обработки смешанного содержимого и загрузок смешанного содержимого. С января 2021 года Google начинает блокировать загрузки HTTP-файлов (изображений, документов и PDF-файлов) с сайтов HTTPS по умолчанию.

Данная статья содержит информацию о базовых продуктах Salesforce. Информация об указанных ниже продуктах:

Сведения о других облачных хранилищах и продуктах см. в разделе «Как изменение влияет на другие облачные хранилища и продукты» ниже.

 

Что изменилось?

Данное изменение может повлиять на возможность конечных пользователей иметь доступ к загрузкам или изображениям вне HTTPS, запущенным на безопасных страницах системы Salesforce.

  • Изображения

Поврежденное изображение отображается для содержимого (изображение или видео), размещенного на небезопасной странице HTTP, при его просмотре на безопасной странице HTTPS. 

  • Загрузки

Если на ссылки или вложения, размещенные на небезопасном сайте HTTP или FTP, нажимают на безопасной веб-странице HTTPS, возвращается ошибка.

 

Что можно сделать?

Проверьте настраиваемое содержимое и убедитесь, что оно обслуживается посредством безопасного хоста HTTPS. HTTPS использует шифрование передаваемых данных (TLS) для предотвращения атак (например, атаки через посредника). Метод настройки HTTPS может изменяться в зависимости от используемой службы. Дополнительные рекомендации по настройке HTTPS см. по специфическим ссылкам выше. Дополнительную информацию см. в блоге Google Chrome.
 

Как это изменение влияет на другие облака и продукты?

С целью наполнения данной статьи наиболее полезными сведениями, влияние данного изменения на продукты во всех облаках и планах было оценено группами по технологиям Salesforce.
 

Commerce Cloud 

Проверьте наличие смешанного содержимого в своих настраиваемых шаблонах электронной почты. Настраиваемые шаблоны электронной почты клиентов - единственная область, попадающая под влияние данного изменения.
 

Industries Cloud

Vlocity 

Проверьте наличие потенциального смешанного содержимого в настраиваемом пользовательском интерфейсе и классах Apex. В настраиваемый пользовательский интерфейс входят страницы Visualforce, компоненты Aura и содержимое LWC или HTML/CSS/JS, предоставляемое посредством безопасного хоста. В настраиваемых классах Apex проверьте наличие переменных URL-адресов, установленных в коде, в данных или полученных из внешних API, встроенных и обработанных в пользовательском интерфейсе. Все встроенное небезопасное содержимое, предоставляемое посредством URL-адреса HTTP, может быть удалено или заменено на безопасный хост HTTPS.
 

Experience Cloud (ранее Community Cloud) 

Проверьте страницы Visualforce, компоненты lightning и конфигурацию сообщества, чтобы убедиться, что они не используют смешанное содержимое. Убедитесь, что все ссылки, указывающие на скачиваемое содержимое, созданное или настраиваемое в ваших компонентах, используют HTTPS.

Содержимое Salesforce CMS
Для создания носителей для внешних ссылок используйте URL-адреса «https://», чтобы поддержать полную функциональность вашего содержимого. Носители для внешних ссылок с небезопасными URL-адресами больше не отображают миниатюрные изображения и предварительные просмотры в исходном формате.

 

Почему компания Google внедряет данное изменение?

Небезопасные загрузки представляют угрозу для безопасности и конфиденциальности пользователя. Например, небезопасные загрузки могут заменяться злоумышленниками на вредоносное программное обеспечение. А средства перехвата информации могут считывать небезопасно загруженные банковские выписки пользователей. Для устранения данной угрозы компания Google планирует со временем прекратить поддержку небезопасных загрузок в Chrome. Компанией Google объявлено о постепенном переходе обозревателя Chrome к загрузке на безопасных страницах (HTTPS) только безопасных файлов. Согласно плану действий, представленному в разделе сроков, Chrome начинает блокировать загрузки смешанного содержимого, то есть загрузки вне HTTPS, запущенные на безопасных страницах. Данное изменение соответствует плану, опубликованному компанией Google в прошлом году для блокировки всех небезопасных подресурсов на безопасных страницах. Изначально компанией Google решено принять меры в отношении небезопасных загрузок, запущенных на безопасных страницах. Данные случаи вызывают беспокойство, так как в настоящее время Chrome не уведомляет пользователей об угрозе для их безопасности и конфиденциальности.

 

Где можно получить более подробную информацию?

Более подробную информацию от компании Google, а также примерные сроки, см. в блоге Google Chrome.

Решение

Вопросы и ответы:

Что такое смешанное содержимое?

Веб-страницы отображаются обозревателями на основе двух протоколов: HTTP и HTTPS. Веб-сайт, использующий протокол HTTPS, намного безопаснее веб-сайта, использующего протокол HTTP. Сайты с поддержкой HTTPS подлежат шифрованию, благодаря чему гарантируется проверка подлинности, целостность данных и секретность. Но некоторые веб-сайты загружают содержимое HTTPS и HTTP на одной странице. Такое содержимое называется смешанным. Большинство сайтов, на которых возникают проблемы смешанного содержимого, используют внешние ресурсы (например, изображения, видеоролики, таблицы стилей или сценарии, загруженные посредством домена HTTP). Даже при отправке исходного запроса в качестве HTTPS, наличие смешанного содержимого в обозревателе Google Chrome предусматривает отображение сайта как небезопасного, так как ресурсы HTTP могут навредить пользователям. 

 

Когда данное изменение вступит в силу?

Согласно плану развертывания, представленному компанией Google, блокировка загрузок смешанного содержимого начнется после отображения предупреждения обозревателя. Расписание развертывания Google Chrome см. ниже. 

Тип содержимого

Примеры файлов

Предупреждение обозревателя

Блокировка

Исполняемые файлы

exe, apk

Chrome 84 (август)

Chrome 85 (сентябрь)

Архивы

zip, iso

Chrome 85 (сентябрь)

Chrome 86 (октябрь)

Документы

pdf, docx

Chrome 86 (октябрь)

Chrome 87 (ноябрь)

Мультимедиа

png, mp3

Chrome 87 (ноябрь)

Chrome 89 (январь 2021 года)

 

Что не входит?

1. URL-адреса/сайты только HTTP

По всей вероятности, данное изменение влияет на отображение небезопасного содержимого на безопасных страницах. На странице, использующей только HTTP, отображающей содержимое только HTTP, сбой маловероятен.

2. Загрузка страницы HTTP

Данное изменение не блокирует загрузку сайта, использующего только HTTP, или отображение сообщения эл. почты в почтовом клиенте без безопасности транспортного уровня (TLS). Таким образом, страницы, использующие только HTTP (без HTTPS), продолжают свою работу.

Номер статьи базы знаний

000389288

 
Загрузка
Salesforce Help | Article