Loading

Google skyddar användare från osäkra nedladdningar i Google Chrome

Publiceringsdatum: Sep 13, 2022
Beskrivning

Google implementerar gradvisa förändringar i webbläsaren Google Chrome för att blockera nedladdning och visning av blandat innehåll. Från och med januari 2021 blockerar Google som standard nedladdning av HTTP-filer, till exempel bilder, dokument och PDF-filer, från HTTPS-sajter.

Den här artikeln fokuserar på Salesforces viktigaste produkter. Mer information om nedanstående produkter hittar du här:

Information om andra moln och produkter finns i avsnittet Hur påverkar den här ändringen andra moln och produkter?

 

Vad påverkas?

Ändringen kan påverka slutanvändarnas möjlighet att komma åt nedladdningar eller bilder som inte använder HTTPS och som påbörjas på säkra sidor inom Salesforce.

  • Bilder

Istället för innehåll som bilder eller videoklipp som ligger på en oskyddad HTTP-sida visas en bruten bild när innehållet visas på en säker HTTPS-sida. 

  • Nedladdningar

Ett fel uppstår om användaren klickar på länkar eller bilagor som ligger på en oskyddad HTTP- eller FTP-sajt från en säker HTTPS-webbsida.

 

Vilka åtgärder kan du vidta?

Granska ditt eget innehåll och se till att det hämtas genom en säker HTTPS-värd. HTTPS använder kryptering av data som överförs (TLS) för att exempelvis förhindra man-i-mitten-angrepp. Metoden för konfiguration av HTTPS kan ändras baserat på tjänsten som du använder. Använd de tjänstspecifika länkarna ovan för ytterligare vägledning om konfiguration av HTTPS. För mer information, läs Google Chrome-bloggen.
 

Hur påverkar denna ändring andra moln och produkter?

Salesforce Technology har undersökt hur ändringen påverkar olika molnbaserade produkter och kommer att uppdatera den här artikeln med mer information allt eftersom.
 

Commerce Cloud 

Se över dina egna e-postmallar med blandat innehåll. Denna ändring påverkar endast kundstyrda egna e-postmallar.
 

Industries Cloud

Vlocity 

Kontrollera att anpassade gränssnitt och Apex-klasser inte innehåller blandat innehåll som kan orsaka problem. Anpassade gränssnitt innefattar Visualforce-sidor, Aura-komponenter och LWC- eller HTML/CSS/JS-innehåll som hämtas från en säker värd. Vad gäller egna Apex-klasser bör du leta efter URL-variabeluppsättningar som finns i kod eller data eller som tas emot från externa API:er och som finns inbäddade och visas i gränssnittet. Inbäddat, osäkert innehåll som hämtas via en HTTP-URL kan tas bort eller ersättas med en säker HTTPS-värd.
 

Experience Cloud (tidigare Community Cloud) 

Kontrollera att dina Visualforce-sidor, Lightning-komponenter och diskussionsgruppkonfigurationer inte använder blandat innehåll. Se till att länkar som pekar mot nedladdningsbart innehåll som skapats eller konfigurerats i dina komponenter använder HTTPS.

Salesforce CMS-innehåll
När du skapar media med externa hänvisningar bör du använda säkra ”https://”-URL:er för att behålla alla innehållsfunktioner. Miniatyrbilder och inbyggda förhandsgranskningar visas inte längre för media med externa hänvisningar och osäkra URL:er.

 

Varför genomför Google denna förändring?

Osäkra nedladdningar utgör en risk för användarnas säkerhet och integritet. Hackare kan till exempel byta ut osäkra nedladdningar mot skadlig programvara och avlyssnare kan läsa bankkontoutdrag som användarna laddar ned på ett oskyddat sätt. För att hantera dessa risker planerar Google att så småningom ta bort stödet för osäkra nedladdningar i Chrome. Google har meddelat att Chrome gradvis kommer att säkerställa att säkra (HTTPS) sidor bara hämtar säkra filer. Enligt en serie steg som beskrivs i tidslinjesektionen kommer Chrome att blockera nedladdningar av blandat innehåll, det vill säga icke-HTTPS-nedladdningar som påbörjas från säkra sidor. Detta följer den plan som Google tillkännagav förra året för att blockera alla osäkra underkällor på säkra sidor. Till att börja med fokuserar Google på osäkra nedladdningar som startas på säkra sidor. Detta kräver uppmärksamhet, eftersom Chrome nu inte ger användarna någon varning om att deras integritet och säkerhet är i fara.

 

Hur kan jag få mer information?

Läs Google Chrome-bloggen för detaljerad information om Googles tidsplan.

Lösning

Vanliga frågor och svar:

Vad är blandat innehåll?

Webbläsare visar webbsidor med hjälp av två slags protokoll: HTTP och HTTPS. En webbplats som följer HTTPS-protokollet är mycket säkrare än en som använder HTTP. HTTPS-aktiverade webbplatser är krypterade, vilket säkerställer autentisering, dataintegritet och sekretess. Vissa webbsidor läser dock in både HTTPS- och HTTP-innehåll på samma sida. Det är detta som är blandat innehåll. De flesta webbplatser som har problem med blandat innehåll har externa resurser som bilder, videor, formatmallar eller skript som läses in via HTTP-domänen. Trots att den ursprungliga begäran skickas som HTTPS visas webbplatsen som osäker när det blandade innehållet återges i webbläsaren Google Chrome, eftersom det finns risk att HTTP-resurserna kan skada användarna. 

 

Hur ser tidsplanen ut för ändringen?

Googles stegvisa implementering inleds med en webbläsarvarning och fortsätter sedan till att blockera nedladdningar av blandat innehåll. Nedan följer implementeringsplanen för Google Chrome. 

Typ av innehåll

Filexempel

Webbläsarvarning

Blockering

Körbart

exe, apk

Chrome 84 (Aug)

Chrome 85 (Sep)

Arkiv

zip, iso

Chrome 85 (Sep)

Chrome 86 (Okt)

Dokument

pdf, docx

Chrome 86 (Okt)

Chrome 87 (Nov)

Multimedia

png, mp3

Chrome 87 (Nov)

Chrome 89 (Jan '21)

 

Vad ingår inte?

1. Webbplatser med endast HTTP/URL:er

Ändringen verkar endast påverka osäkert innehåll som visas på säkra webbplatser. Det är osannolikt att en ren HTTP-sida som endast visar HTTP-innehåll skulle misslyckas.

2. Inläsning av HTTP-sidor

Ändringen blockerar inte inläsning av webbplatser som endast använder HTTP eller visning av e-post i e-postklienter utan säkerhetsprotokollet TLS (Transport Layer Security). Rena HTTP-sidor som inte använder HTTPS fortsätter att fungera.

Knowledge-artikelnummer

000389288

 
Laddar
Salesforce Help | Article