Google Chrome 团队出绝招阻断混合脚本漏洞

标签: Google新闻 Chrome Chromium Security | 发表时间:2011-06-21 10:36 | 作者:xslidian Hivan Du
出处:http://www.guao.hk

“混合脚本执行”漏洞通常在通过 HTTPS 传送的页面加载通过 HTTP 传送的脚本、CSS 或插件资源时出现。中间攻击者(如处于同一无线网络的用户)通常能截取 HTTP 资源加载,并对加载资源的网站获取完全权限。情况糟糕的话跟没用 HTTPS 一个样。

稍轻但类似的问题——暂且称之为“混合显示”漏洞——通常在通过 HTTPS 传送的页面加载通过 HTTP 传送的图像、iFrame 框架或字体时出现,但只能影响页面外观。

浏览器长期以来使用不同的指示符、情态动词对话框、拦截选项甚至是点击确认等方法将这些情况告知用户。如果网站页面存在混合脚本执行问题,Chromium 当前会在 Omnibox 中这样指示:

混合显示内容会这样指示:

如果网站有 HTTPS 页面显示带红叉的 https,就非常值得主动调查了:

  • 网站在其他主流浏览器(如 IE9 或 FF4)中会因为点击确认对话框与丑陋的情态动词对话框而难以正常显示。
  • 可能存在危害整个 HTTPS 连接的安全漏洞。

自 Chromium 14 的首个版本 (14.0.785.0 canary) 起,Google 将开始测试默认拦截混合脚本。当拦截到混合脚本时会出现这样的信息栏:

作为用户,可以选择不应用拦截而重新加载。理想情况下,将来的信息栏将不再保留允许用户绕过拦截的选项。Google 安全团队的经验表明,有些用户即使在最可怕的警告信息面前也会点击“允许执行”——完全不顾可能的后果。

帮助站长分析的工具
如果 Chromium 的 UI 显示网站上存在混合内容问题,可以尝试 Google 的开发工具定位问题。有用的信息通常记录在 JavaScript 控制台 (菜单 -> 工具 -> JavaScript 控制台):

站长还可以打开“网络”选项卡重新加载页面,并查找通过 http:// 协议传送的内容。值得注意的是,混合脚本得以执行时,整个原始页面都会受到影响,因此需要查看所有引用了发现的来源的标签页的控制台。要清除错误,所有引用了有害来源的标签页都要关闭。特别棘手的情况是不清楚来源如何产生危害,这时还可以启用命令行控制台调试功能查看相关的警告信息。

Chromium 13 提供了命令行标记 --no-running-insecure-content。Google 建议站长与高级用户附带该标记运行 Chrome,以便清理有问题的网站。(还针对较轻级别的混合内容问题提供了 --no-displaying-insecure-content;Chromium 14 尚无计划默认拦截此内容。)

而 Chromium 14 将提供相反的标记: --allow-running-insecure-content,方便使用未能及时修正这些错误的内部应用程序的用户与管理员。

via Google Online Security Blog

编注:Chrome 14 已于上周部署到了 dev 分支,拦截后的提示文字说明更加全面,并且去掉了“确定”按钮(与“关闭”图标功能重复),还提供了“了解更多”链接——不过帮助中心还没有准备好相应内容。

提示:“该站点的部分脚本内容不安全,为了您的安全已进行拦截。”按钮:“仍然加载(不推荐)”


© xslidian 发表于 谷奥——探寻谷歌的奥秘 ( http://www.guao.hk ), 2011. | 15 条评论 | 永久链接 | 关于谷奥 | 投稿/爆料
Post tags: , ,

相关 [google chrome 团队] 推荐:

Google Chrome 团队出绝招阻断混合脚本漏洞

- Hivan Du - 谷奥——探寻谷歌的奥秘
“混合脚本执行”漏洞通常在通过 HTTPS 传送的页面加载通过 HTTP 传送的脚本、CSS 或插件资源时出现. 中间攻击者(如处于同一无线网络的用户)通常能截取 HTTP 资源加载,并对加载资源的网站获取完全权限. 情况糟糕的话跟没用 HTTPS 一个样. 稍轻但类似的问题——暂且称之为“混合显示”漏洞——通常在通过 HTTPS 传送的页面加载通过 HTTP 传送的图像、iFrame 框架或字体时出现,但只能影响页面外观.

Google Chrome使用经验谈

- sylvia - 月光博客
  尽管笔者对于Google Chrome(谷歌浏览器)有着这样那样的偏爱,但是笔者仍然需要诚实告诉你它并不是对所有人都是一个好选择. 当然它有着启动快速、界面简洁的特点,但是对于习惯了IE、Firefox界面的朋友来说也许这并不是一个好选择,除此之外它还是一个挥霍无度的家伙,所以2G内存是它的基础配备,因为就连笔者的4G内存有时都力有不逮,痛并快乐着的确是一个很好的形容.

在 Google Chrome 中运行 Termkit

- sprite.evan - 黑客志
Termkit 是由 Steven Wittens 开发的新一代的图形终端( 黑客志之前的介绍 ). Termkit 是基于 Webkit 内核( 就是 Chrome 和 Safari 用的那货 )构建的. 不过 Termkit 有个最大的问题就是,你必须有一个 Mac 并且必须用 OSX 才能用.

超酷的 Chrome Experiment :Google Gravity

- Don - 谷奥——探寻谷歌的奥秘
感谢读者 catchz 的提醒. 我们知道 Google 有一个 Chrome Experiments 网站,这里集中了各种各样超酷的 HTML5 效果演示,其中非常有意思的一个就是这个 Google Gravity 万有引力. 打开这个页面(或者在 Google 搜索框输入 Google Gravity ,然后 feeling lucky )后,你会看到 Google 首页所有元素全部以自由落体形式掉到窗口的最下方,你可以随便用鼠标箭头捡起某个东西扔出去.

Google Chrome快捷键大全

- 飞羽飞之猪 - 软件志
相信很多朋友在使用过Google Chrome之后,就会不想回到原先使用的浏览器了,尤其是IE. 没错Google Chrome的优点很多,已经获得了一大部分网友们的用户,软件志现在也是Firefox+Chrome混搭着用. 今天软件志在豆瓣闲逛是看到一篇关于Google Chrome快捷键的帖子,发现很全面,所以就转之.

Google发布chrome HTML5应用

- Amom - Solidot
游戏番茄 写道 "早在5月份Google就宣布旗下产品Gmail、Calendar、Docs将支持基于HTML5离线的访问. 如今终于实现了,上述Web服务以应用的方式发布在Chrome商店. 现在进入相关产品页面会提示是否开启离线功能,并引导安装离线版产品应用. 安装后启动新的chrome窗口会显示已安装的新应用,这样即使你离线的情况下,你仍然可以正常访问和使用已经保存在本地数据库的内容.

官方 Chrome 扩展 Google Translate for Google+

- Qian - 谷奥——探寻谷歌的奥秘
其实这是个挺无聊也挺没技术含量的Chrome扩展,不过因为是Google官方的所以还是捎带手说一下. Google员工Josh Estelle做了这个Google Translate for Google+扩展,安装之后即可在每个Google+信息流里看到一个新的Translate按钮,点击即可将信息流或评论翻译成Google Translate所支持的任何语言.

VNC Viewer for Google Chrome – VNC 连接客户端[Chrome]

- - 小众软件
VNC Viewer for Google Chrome 是一款 Chrome 扩展,可以让你通过 Chrome 浏览器来远程控制电脑. VNC(Virtual Network Computing),为一种使用RFB协议的屏幕画面分享及远程操作软件. 此软件借由网络,可传送键盘与鼠标的动作及实时的屏幕画面.

Google Chrome浏览器被攻破

- camus - Solidot
solar 写道 "最新版(11.0.696.65)Google Chrome浏览器被VUPEN Security的研究人员攻破. Sandbox/ASLR和DEP都没能阻挡恶意程序. 此漏洞影响所有Windows平台的Chrome浏览器,漏洞的具体技术细节没有被公布,只公布了演示视频. Chrome浏览器一向以安全著称,在过去2011,2010和2009年的Pwn2Own竞赛中都未被黑客拿下.

Google 开放 Chrome 桌面提醒 API

- jary - 谷奥——探寻谷歌的奥秘
注意,上图不是 Growl ,而是一个名为 Gmail Notifier 的 Chrome 扩展. 早期的 Chrome 扩展中的弹出提醒都在浏览器窗口内,但是用户显然不喜欢寸土寸金的浏览器显示面积被提醒框所占据,于是 Google 在 Windows 版的 Chrome 4 中引入了桌面提醒 API,并且在最近的 Chrome 5 Stable 中正式将其开放供开发者使用,相关的文档可以在这里找到.