1月15日,Mozilla发布公告,Firefox上所有网络公开新功能仅限HTTPS加密环境下提供。Mozilla博客上写道:“所有网络公开的新功能仅限于安全内容(Secure Contexts),立即生效。”目前,FireFox已经对部分功能要求仅限HTTPS,比如获取地理位置(Geolocation),但从现在起,所有网页新功能都将被限制仅在HTTPS加密的环境下提供。
安全内容(Secure Contexts)的重要性
随着web平台功能的不断扩展,使更多有用和强大的应用程序成为可能,网站开始在浏览器上提供一些类似移动APP的功能,比如支持网络摄像头、本地数据存储、地理定位、付款请求API等等。
这些高级功能丰富了Web程序的使用体验,但是也存在必然的安全风险,如果这些功能被中间人攻击,或遭遇其他网络干扰或篡改,将带来严重安全威胁。设想一下,如果一个用户连接到你的网站上,网络上的其他人就可以利用你来访问监听用户的摄像头或麦克风,或者更糟糕的是,攻击者可以直接用HTTP注入来伪造一个用户网络摄像头的访问请求。
确保高级功能仅在满足Z低安全级别的环境中才能启用变得越来越重要,程序通过HTTPS认证加密通道安全地访问敏感数据或隐私数据是一个必要的先决条件。HTTPS的主要工作是保护网站和浏览器之间的安全连接,而这些高级功能同样需要HTTPS加密保护,防止中间人攻击、流量劫持和敏感数据泄露。
