Chrome安全性憑證 Https登入問題

11   Comments

Chrome update
Chrome21版在背景應用程式更新下, 悄悄地幫用戶更新版本. 本次釋出的穩定版, 在HTML5支援度評分增加到437分. (Chrome Canary-22達442分). 也修正了15個bugs. 新增的特色已經有資訊客分享了, 但是釋出三天以來官方一直沒有對一個小問題釋疑, 那就是網址列小小的安全憑證提示icon. 以往的地球圖示(globe icon)變成空白頁圖示(blank page icon).
單純地更新圖樣那是沒有問題的, 重要的是, 以往的版本在需要登入網站時會自動跳到 Https加密頁. 而Chrome21版除了google.com所屬的網域可以看到熟悉的綠色小鎖頭之外, 其他的網站還是維持非安全傳輸的狀態, 這讓人無法信任新版是否有足夠的安全性?!

我在它發布的第一天就發現這個問題, 當了奧客回報過去, 還是沒人知道怎麼一回事?? 換成22開發版還是同樣的狀況. 我也只能猜測:Google Chrome對於他的安全沙箱的自滿已經到了可以捨棄SSL安全加密機制...

事實上我們瀏覽的大部分網站是無需使用https加密傳輸的, 因為並沒有帳密, 個資的安全問題,  我只是單純地接收網頁資訊, 而且大部分還是透過已驗證過的IP網頁來加速瀏覽. Chrome沙盒機制會將所有的資訊在不同的分頁獨立不混淆; 也無法由第三方插件主動指使本機的應用程式.
但是這樣以為安全就太天真了!
為何Google首頁卻明白地使用Https網址, 其他網站卻光禿禿的? 偽裝的入口網站才是最危險的!


可以試試登入其他需要安全驗證的網站, 例如網路銀行或Email. Chrome就會自動引導至SSL-TLS加密頁, 登入後仍是Https網址. 如圖:



網站對會員個資應有登入的安全驗證機制, 以往由瀏覽器來承擔風險是不公平的. 對我們這種一般網民來說, 哪裡會知道如何處理SSL登入才對? 有的網站, 例如facebook.com或twitter.com這類可能包含註冊隱私的網站所申請的安全憑證登入方式卻被chrome21版忽略, 而採取無加密傳輸層. 所以新版的Chrome 21才出現三天, 市占率立刻掉了 1% . 因為使用者對這個版本產生不信任感, 於是使用別種瀏覽器或試圖恢復舊版. 面對這種問題, Google居然無動於衷?!

現在能做的是將 "設定" ➤ "顯示進階設定" ➤ "HTTPS/SSL管理憑證" 勾選下方的 "檢查伺服器憑證的撤銷情況". 盡量避免讓假網站有機可趁.


需要登入帳密的網站, 加入書籤前修改成 https:// 前綴, 如圖:


至於無法強制使用https的網站, 如Yahoo, 有其安全驗證機制吧?


Author Summary
Chrome安全性憑證 Https登入問題
Subject : Chrome安全性憑證 Https登入問題
Author : - Dream Talker Updated at: 6:59 AM
Votes : 100% - 5.0 - based on 2015
Google瀏覽器Chrome網址列鎖頭圖示變成紙頁
5 Stars - Reviews
留言提示 - Comment Tips
◆ 如果您有任何想法或意見,歡迎參與留言。
◆ Disqus匿名留言,信箱及個人資訊不會公開顯示。
◆ 請多使用社群帳號留言,可簡化流程並訂閱回復。
◆ 『私密留言』請使用Google+分享按鍵,留言須使用『@Mark X』在訊息中,以免遺漏通知。
◆ G+ 訊息中指名分享對象的參考文件: 『 說明
  • Disqus
  • Blogger
  • Facebook
Anonymous left your nick please
  1. Anonymous10:26 AM

    https不是比較安全?新版幹嘛多此一舉取消咧?

    ReplyDelete
    Replies
    1. 當然是比Http安全, 以前的地球圖案跟現在的紙頁圖案都不是Https, 該說它們都一樣. 新版只有在"必須"使用SSL登入的網站才會啟用Https. 啟用了Https就需要處理更多加密交換訊息, 為了讓Chrome讀取網頁更快速, 做了這樣的更新.

      Delete
  2. Anonymous7:44 AM

    YAHOO根本不能加HTTPS啊~
    你又說以前的地球=現在的紙張圖案,好像又不嚴重,搞糊塗了
    我用YAHOO留言會不會怎樣?
    啊!怎麼辦?我要留言,他說我的YAHOO ID是錯誤的。

    ReplyDelete
    Replies
    1. 哈哈! 留言板快被妳重複的留言淹沒了. 我只留下兩個留言.
      其實yahoo在登入時還是有經過https驗證, 不過我不清楚其機制為何, 所以無法答覆. 這次Google瀏覽器改版有個問題, 就是會讓使用者產生疑慮. 應該在首頁引導新版特色, 安全說明; 而不是公告完全沒說明. 還要使用者到處找資訊, 用舊的制式說明讓人搞不清楚現在我到底是安全的? 還是不安全的?

      Delete
    2. 忽然想到!! Firefox的新版說明就做得很好.
      每一次重大改版更新會讓使用者知道.

      Delete
  3. Anonymous7:46 AM

    怎麼辦?YAHOO ID留言顯示錯誤,變成匿名。試了好幾次都不行
    我是Angela

    ReplyDelete
    Replies
    1. 我是不知道妳留言時遭遇甚麼狀況? 我收到的留言都是Open ID, 不是匿名.
      上個月發生一件事. 駭客破解Yahoo安全機制, 取得45萬筆個資公布在網路上. 主要是"警惕"Yahoo的安全漏洞可輕易入侵. 可能是如此, 現在把Yahoo帳戶整合, Open ID也同樣使用Yahoo社交名片.

      你是否記得, Blogger開始使用Google+帳號時也是讓人搞不清楚.
      像我舊的留言是"Deam Talker"; 新的留言變成"Mark X". 可能Yahoo正在整合個人對外名片, 只是Open ID還沒弄好吧?

      Delete
  4. Anonymous7:34 PM

    請問,您寫:'需要登入帳密的網站, 加入書籤前修改成 https:// 前綴'
    有些網站顯示這個網頁無法使用,不能使用https登入.

    ReplyDelete
    Replies
    1. 使用安全傳輸層要經過公證機構發給憑證, 該網站沒有申請, 當然不適用Https的前綴. 但是例如Facebook有使用安全憑證, 可以在帳戶設定的security項目找到設定登入方法, 無論在何處登入帳號都會依照Https登入的設定. 使用者各自注意就是.

      Delete
  5. 謝謝分享,增加不少知識

    ReplyDelete
    Replies
    1. 我只是個愛發牢騷的鄉民, 您的Blogger內容才是造福鄉民的好物.

      Delete