2

В Chrome я заметил, что иногда получаю предупреждения о смешанном контенте в строке URL, например:

предупреждение о смешанном контенте в gmail

Могу ли я настроить Chrome для блокировки смешанного контента, а не просто предупреждать об этом (или, если я случайно отклонил предупреждение раньше - сбросить настройки по умолчанию).

Причина в том, что это хорошо говорит мне после того, как случилось плохое. Я бы предпочел, чтобы плохая вещь была заблокирована - после чего непременно предупредите меня.

Подробности:

Я использую Gmail *, так что это не просто маленькие сайты, но я видел это на других сайтах.

У меня нет всплывающих окон или диалогов, спрашивающих, хочу ли я отображать небезопасный контент.

Если щелкнуть по замку для получения подробной информации, появится следующее сообщение, означающее, что небезопасные ресурсы отображались, а не блокировались:

Ваше соединение с mail.google.com зашифровано 128-битным шифрованием. Тем не менее, эта страница включает в себя другие ресурсы, которые не являются безопасными. Эти ресурсы могут быть просмотрены другими во время транспортировки и могут быть изменены злоумышленником для изменения внешнего вида страницы.

Я использую Chrome 30.0.1599.101 на OSX, но я видел это ранее в старых версиях.

* Строго говоря, я использую приложения Google для доменов, то есть мой нынешний работодатель использует gmail для электронной почты своего домена. Проверка журнала javascript (инструкции) показывает, что небезопасное содержимое было связано с логотипом моего работодателя, загруженным через незащищенное соединение. Помочь им исправить это, конечно, тоже поможет, но это выходит за рамки этого вопроса.

|источник

2 ответа2

1

Chrome блокирует некоторые небезопасные материалы с высоким уровнем риска (javascript) и позволяет использовать другие материалы с низким уровнем риска (изображения)

Посетите эту странную страницу со смешанным контентом и посмотрите на консоль javascript. Вы можете видеть, что изображения отображаются (с предупреждениями в консоли), но небезопасные сценарии блокируются.

Это нормально, но не отлично. Злоумышленник в середине все еще может отслеживать пользователя таким образом. Я все еще хотел бы возможность заблокировать весь небезопасный контент.

Firefox 23+ также имеет эту функцию (проверено мной на тестовой странице выше в Firefox 24) в том, что он блокирует JavaScript (который Firefox называет "активным контентом", но не изображениями "пассивного контента").

Что касается Gmail, я нашел эту статью о значках безопасности Gmail . что объясняет, что я, вероятно, загружал внешние изображения в электронное письмо ..., которое выдает предупреждение, а поскольку Gmail является одностраничным приложением и обычно не перезагружается, желтый замок никогда не исчезает. Обновите страницу, и она снова станет зеленой.

|источник
0

Chrome и Chromium имеют (или, по крайней мере, имели, иногда в своей истории) некоторые соответствующие флаги командной строки для этого:

  • --no-displaying-insecure-content сообщается, переопределяет тот факт, что «по умолчанию страница https может загружать изображения, шрифты или кадры со страницы http».
  • --enable-strict-mixed-content-checking сообщается, «блокирует все незащищенные запросы из безопасного контекста и предотвращает отмену этого решения пользователем», что похоже на то, что вы ищете.
  • --enable-potentially-annoying-security-features сообщается, «включает ряд потенциально раздражающих функций безопасности (строгий режим смешанного содержимого, ограничения мощных функций и т. д.)», что звучит так, как будто это эквивалентно использованию --enable-strict-mixed-content-checking и некоторые другие, не указанные флаги.
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .