Google 在 Google Chrome 中保護使用者免受不安全下載的傷害

Google 正對 Google Chrome 瀏覽器推出漸進變更，以封鎖混合內容呈現和混合內容下載。從 2021 年 1 月開始，Google 會封鎖預設從 HTTPS 網站下載的 HTTP 檔案 (影像、文件、PDF)。

本文的重點放在 Salesforce 核心產品上。適用於以下產品：

• Marketing Cloud
• Pardot
• Salesforce CPQ

至於其他的雲端與產品，請參閱以下此項變更如何影響其他雲端與產品一節。

有何影響？

此項變更可能會影響一般使用者是否能夠存取在 Salesforce 中安全頁面上開始的非 HTTPS 下載或影像。

• 影像

對於在不安全的 HTTP 頁面上裝載的內容 (如影像或影片)，當在安全的 HTTPS 頁面上檢視此類內容時，會顯示該內容的失效影像。 

• 下載

當從安全 HTTPS 網站上點擊在不安全 HTTP 或 FTP 網站上主控的連結或附件時，這些連結或附件會造成錯誤。

您可以採取什麼動作？

檢閱您的自訂內容，並確保這些內容是透過安全 HTTPS 主機提供。HTTPS 使用傳輸中資料加密 (TLS) 以防止中間人攻擊 (man-in-middle) 等攻擊。根據您使用的服務，設定 HTTPS 的方法可能有所變更。如需有關設定 HTTPS 的其他指引，請使用上方的服務特定連結。如需詳細資訊，請參閱 Google Chrome 部落格。
 

此項變更如何影響其他雲端與產品？

Salesforce Technology 已評估此改變對其跨雲端的產品有何影響，並計畫在有更多的資訊時更新此文章。
 

Commerce Cloud 

查看您的自訂電子郵件範本是否有混合內容。此項變更只會影響由客戶控制的自訂電子郵件範本。
 

Industries Cloud

Vlocity 

查看自訂開發的 UI 與 Apex 類別是否有潛在的混合內容問題。自訂開發的 UI 包括 Visualforce 頁面、Aura 元件，以及透過安全主機提供的 LWC 或 HTML/CSS/JS 內容。對於自訂 Apex 類別，請檢查在程式碼中設定的 URL 變數，或從在 UI 中內嵌與呈現的外部 API 收到的 URL 變數。透過 HTTP URL 提供的任何不安全內嵌內容皆會遭到移除，或以安全 HTTPS 主機取代。
 

Experience Cloud (前身為 Community Cloud) 

稽核您的 Visualforce 頁面、Lightning 元件及社群組態，以確保其不會使用混合內容。對於任何指向在您元件中所建立或設定可下載內容的連結，確保這些連結皆使用 HTTPS。

Salesforce CMS 內容
對於外部參照的媒體建立，請使用安全「https://」URL 來維持您內容的完整功能。含不安全 URL 的外部參照媒體不再原生顯示其縮圖影像與預覽。

為什麼 Google 要進行此項變更？

不安全的下載會對使用者的安全性和隱私權帶來風險。例如，攻擊者可以將不安全的下載換成惡意軟體。竊聽者可以讀取使用者不安全下載的銀行對帳單。為了處理這些風險，Google 計畫最終取消對 Chrome 中不安全下載的支援。Google 已宣布 Chrome 會逐漸確保安全 (HTTPS) 頁面僅下載安全的檔案。在時程表區段中列出的一連串步驟中，Chrome 會開始封鎖混合內容下載 (在安全頁面上開始的非 HTTPS 下載)。此舉是 Google 去年宣布之計畫的後續行動，以封鎖安全頁面上所有不安全的子資源。一開始 Google 聚焦在於安全頁面上開始的不安全下載。這些個案令人擔憂，因為 Chrome 目前未向使用者告知其隱私權和安全性正面臨風險。

如何取得詳細資訊？

閱讀 Google Chrome 部落格，以瞭解 Google 提供的詳細資訊與其預期的時程表。