Mozilla Firefox将停止支持不安全的HTTPS


发布者 ourjs  发布时间 1431478865153
关键字 技术前沿  分享 
今天,我们宣布我们将逐步淘汰不安全的HTTPS。

注* 如果签名正确的HTTPS网站被劫持,之前的浏览器会发出签名错误的警告,但仍然会渲染这些页面。基于这一点,类似于年初的 百度被劫持攻击Github事件 将无法彻底杜绝。Firefox和Chrome最近都对安全级别进行了升级。比如最近的更新中,如果网站在ifrmae中嵌套了一个签名错误(被劫持)的HTTPS的网页,将无法渲染。

当前普遍认网页的前进方向为HTTPS。近几个月来,不断有组织呼吁互联网应用采用HTTPS加密传输,包括IETF,IAB,W3C和美国政府。

经过我们的社区和邮件列表上的热烈讨论,Mozilla承诺将专注于推荐安全HTTPS的发展,并开始停止支持不安全的HTTPS网站。我们有两大计划:

设置后,某个时间点的所有的新功能将只提供给安全的HTTPS

逐步淘汰不安全HTTPS网站的支持,因为它们威胁到用户隐私和安全。


对于第一点,社区需要商定具体日期,以及哪些是“新”功能。“新”的一个定义可以是“不能被polyfilled(兼容实现)的功能”。这意味着你仍然可以使用像CSS和其它功能来渲染不安全HTTPS的网站,但像硬件的一些功能的使用将会被限制使用。


该计划的第二个点将需要在安全和网络的兼容性之间进行权衡。禁止访问不安全的HTTPS有可能导致一些网站的崩溃。因此,我们必须监控破坏程度,再与安全的需求进行平衡。我们也已经开始考虑较小的限制,可以通过非安全网站使用一般功能。不过,火狐已经禁止从非安全HTTPS网站调用摄像头和麦克风的访问权限。还不断有一些建议,以限制非安全cookie的使用范围。

应当指出的是,这个方案仍然允许遗留的"http"URI的使用。随着HSTS的改动升级CSP(跨域Ajax请求),在“HTTP”可以自动由浏览器变为“https”,确保运行安全。

这项工作的目标是向Web开发人员社区传递一个信息,他们需要注意网站的安全,我们这些工作,如果对于协调整个网络社会是有效的。那么预计不久我们将作出一些建议提到W3C WebAppSec工作组。

感谢那些在邮件列表里参与了这项讨论的人。让我们的网络更加安全!

Richard Barnes, Firefox 安全主管





回复 (6)
  • #
  • #1 罗止尖 1431492422207

    头大~~

  • #2 姬兄机 1432259778878

    萨比翻译, 你确定你翻译的是对的吗

  • #3 Mael 1432261301830

    @姬兄机 #1

    请注意你的言行,如果你觉得你翻译更好可以指出别人的错误,要学会尊重别人的成果,ok?

  • #4 姬兄机 1432263075888

    最近忙,火气大了点, 翻译兄。 亲爱Mael,谢谢你的指点。 管理员帮我删除上一条评论 ok?

  • #5 姬兄机 1432274932648

    Mozilla Firefox将停止支持不安全的HTTP, 比如最近firefox的安全更新中,如果网站在ifrmae中嵌套了HTTP网页, 安全策略将阻止渲染。

  • #6 毕久扒 1513924389254

    要使用代理怎么办?你们这种改动弄得代理都用不了

微信扫码 立即评论




 热门文章 - 分享最多
  1. 6款基于Node.JS的开源内容管理和静态网站生成系统
  2. NativeScript的竞争者React Native:又一个用JavaScript写原生iOS应用的项目
  3. 2015年度开发者调查:JS最流行;ObjC工资最高;最想学Android
  4. 基于JavaScript的DDoS首次通过安全的浏览器发动攻击(百度被劫持攻击Github的原理和过程)
  5. 编写高性能HTML网页应用
  6. WordPress 4.3核心功能将放弃PHP并使用Node.JS重写[4.1]
  7. JavaScript变量作用域(Variable Scope)和闭包(closure)的基础知识
  8. Image Lazy Load:那些延时加载图片的开源插件(jQuery)
  9. 创建自定义的jQuery补间动画运动函数及其实现的数学原理
  10. history.js 一个无刷新就可改变浏览器栏地址的插件(不依赖jquery)

 相关阅读
  1. 2015年度开发者调查:JS最流行;ObjC工资最高;最想学Android
  2. TypeScript新功能实例讲解:支持更多EcmaScript6特性
  3. NativeScript的工作原理:用JavaScript调用原生API实现跨平台
  4. 微软博客:Angular 2将基于TypeScript
  5. 专为控制打印设计的CSS样式
  6. 什么是Viewport Meta(width详解)及在手机上的应用
  7. io.js新支持的ECMAScript 6功能特性详解
  8. NodeJS连接Redis:安装及开机自动启动设置
  9. Duktape:一个新的小巧的超精简可嵌入式JavaScript引擎
  10. HTML5的TCP和UDP Web Socket API草案定稿

  开源的 OurJS
OurJS开源博客已经迁移到 OnceOA 平台。

  关注我们
扫一扫即可关注我们:
OnceJS

OnceOA