OurJS


OurJS-我们的JS, 我们的技术-IT文摘; 专注JS相关领域;
我们热爱编程, 我们热爱技术;我们是高大上, 有品味的码农;

欢迎您订阅我们的技术周刊


我们会向您分享我们精心收集整理的,最新的行业资讯,技术动态,外文翻译,热点文章;
我们使用第三方邮件列表向您推送,我们不保存您的任何个人资料,注重您的隐私,您可以随时退订,

欢迎分享您的观点,经验,技巧,心得

让我们一起找寻程序员的快乐,探索技术, 发现IT人生的乐趣;


本网站使用缓存技术每次加载仅需很小流量, 可在手机中流畅浏览;
如果您发现任何BUG,请即时告知我们: ourjs(at)ourjs.com

Mozilla Firefox将停止支持不安全的HTTPS


分享到
分类 技术前沿   关键字 分享   发布 ourjs  1431478865153
注意 转载须保留原文链接,译文链接,作者译者等信息。  
今天,我们宣布我们将逐步淘汰不安全的HTTPS。

注* 如果签名正确的HTTPS网站被劫持,之前的浏览器会发出签名错误的警告,但仍然会渲染这些页面。基于这一点,类似于年初的 百度被劫持攻击Github事件 将无法彻底杜绝。Firefox和Chrome最近都对安全级别进行了升级。比如最近的更新中,如果网站在ifrmae中嵌套了一个签名错误(被劫持)的HTTPS的网页,将无法渲染。

当前普遍认网页的前进方向为HTTPS。近几个月来,不断有组织呼吁互联网应用采用HTTPS加密传输,包括IETF,IAB,W3C和美国政府。

经过我们的社区和邮件列表上的热烈讨论,Mozilla承诺将专注于推荐安全HTTPS的发展,并开始停止支持不安全的HTTPS网站。我们有两大计划:

设置后,某个时间点的所有的新功能将只提供给安全的HTTPS

逐步淘汰不安全HTTPS网站的支持,因为它们威胁到用户隐私和安全。


对于第一点,社区需要商定具体日期,以及哪些是“新”功能。“新”的一个定义可以是“不能被polyfilled(兼容实现)的功能”。这意味着你仍然可以使用像CSS和其它功能来渲染不安全HTTPS的网站,但像硬件的一些功能的使用将会被限制使用。


该计划的第二个点将需要在安全和网络的兼容性之间进行权衡。禁止访问不安全的HTTPS有可能导致一些网站的崩溃。因此,我们必须监控破坏程度,再与安全的需求进行平衡。我们也已经开始考虑较小的限制,可以通过非安全网站使用一般功能。不过,火狐已经禁止从非安全HTTPS网站调用摄像头和麦克风的访问权限。还不断有一些建议,以限制非安全cookie的使用范围。

应当指出的是,这个方案仍然允许遗留的"http"URI的使用。随着HSTS的改动升级CSP(跨域Ajax请求),在“HTTP”可以自动由浏览器变为“https”,确保运行安全。

这项工作的目标是向Web开发人员社区传递一个信息,他们需要注意网站的安全,我们这些工作,如果对于协调整个网络社会是有效的。那么预计不久我们将作出一些建议提到W3C WebAppSec工作组。

感谢那些在邮件列表里参与了这项讨论的人。让我们的网络更加安全!

Richard Barnes, Firefox 安全主管

原文地址: 点此
社区评论 ( Beta版 )
  • #0 罗止尖 1431492422207

    头大~~

  • #1 己删除 1432259778878
  • #2 Mael 1432261301830

    @姬兄机 #1

    请注意你的言行,如果你觉得你翻译更好可以指出别人的错误,要学会尊重别人的成果,ok?

  • #3 姬兄机 1432263075888

    最近忙,火气大了点, 翻译兄。 亲爱Mael,谢谢你的指点。 管理员帮我删除上一条评论 ok?

  • #4 姬兄机 1432274932648

    Mozilla Firefox将停止支持不安全的HTTP, 比如最近firefox的安全更新中,如果网站在ifrmae中嵌套了HTTP网页, 安全策略将阻止渲染。

  • #5 毕久扒 1513924389254

    要使用代理怎么办?你们这种改动弄得代理都用不了

OnceDoc 您自己的企业内容管理系统——文档、流程、知识库、报表、网盘All In One

访问404页面,寻找丢失儿童
 热门文章 - 分享最多
  1. 6款基于Node.JS的开源内容管理和静态网站生成系统
  2. NativeScript的竞争者React Native:又一个用JavaScript写原生iOS应用的项目
  3. 2015年度开发者调查:JS最流行;ObjC工资最高;最想学Android
  4. 基于JavaScript的DDoS首次通过安全的浏览器发动攻击(百度被劫持攻击Github的原理和过程)
  5. 编写高性能HTML网页应用
  6. WordPress 4.3核心功能将放弃PHP并使用Node.JS重写[4.1]
  7. JavaScript变量作用域(Variable Scope)和闭包(closure)的基础知识
  8. Image Lazy Load:那些延时加载图片的开源插件(jQuery)
  9. 创建自定义的jQuery补间动画运动函数及其实现的数学原理
  10. history.js 一个无刷新就可改变浏览器栏地址的插件(不依赖jquery)
  11. AirJD-简单好用的免费建站工具

 相关阅读 - 技术前沿
  1. 2015年度开发者调查:JS最流行;ObjC工资最高;最想学Android
  2. TypeScript新功能实例讲解:支持更多EcmaScript6特性
  3. NativeScript的工作原理:用JavaScript调用原生API实现跨平台
  4. 微软博客:Angular 2将基于TypeScript
  5. 专为控制打印设计的CSS样式
  6. 什么是Viewport Meta(width详解)及在手机上的应用
  7. io.js新支持的ECMAScript 6功能特性详解
  8. NodeJS连接Redis:安装及开机自动启动设置
  9. Duktape:一个新的小巧的超精简可嵌入式JavaScript引擎
  10. HTML5的TCP和UDP Web Socket API草案定稿

 关键字 - 分享
  1. MFC功能扩展控件BCGSuite for MFC发布v27.1|附下载
  2. 一位自由职业者的分享:程序员怎样找兼职?
  3. DevExpress v17.2新版亮点——CodeRush篇(二)
  4. 怎样用纯HTML和CSS更改默认的上传文件按钮样式
  5. MFC界面套包BCG Pro Edition for MFC发布v27.1|附下载
  6. 从 Node 到 Go:一个粗略的比较—GO平均性能比JavaScript快十几倍
  7. DevExpress v17.2新版亮点——CodeRush篇(一)
  8. Kendo UI组件Kendo UI Vue发布R1 2018 SP1|附下载
  9. 上海友搜网络科技有限公司
  10. DevExpress v17.2新版亮点——XAF篇

 欢迎订阅 - 技术周刊

我们热爱编程, 我们热爱技术; 我们是高端, 大气, 上档次, 有品味, 时刻需要和国际接轨的码农; 欢迎您订阅我们的技术周刊; 您只需要在右上角输入您的邮箱即可; 我们注重您的隐私,您可以随时退订.
加入我们吧! 让我们一起找寻码农的快乐,探索技术, 发现IT人生的乐趣;


 关注我们

我们的微信公众号: ourjs-com
打开微信扫一扫即可关注我们:
IT文摘-程序员(码农)技术周刊

ourjs官方微信号