單純地更新圖樣那是沒有問題的, 重要的是, 以往的版本在需要登入網站時會自動跳到 Https加密頁. 而Chrome21版除了google.com所屬的網域可以看到熟悉的綠色小鎖頭之外, 其他的網站還是維持非安全傳輸的狀態, 這讓人無法信任新版是否有足夠的安全性?!
我在它發布的第一天就發現這個問題, 當了奧客回報過去, 還是沒人知道怎麼一回事?? 換成22開發版還是同樣的狀況. 我也只能猜測:Google Chrome對於他的安全沙箱的自滿已經到了可以捨棄SSL安全加密機制...
事實上我們瀏覽的大部分網站是無需使用https加密傳輸的, 因為並沒有帳密, 個資的安全問題, 我只是單純地接收網頁資訊, 而且大部分還是透過已驗證過的IP網頁來加速瀏覽. Chrome沙盒機制會將所有的資訊在不同的分頁獨立不混淆; 也無法由第三方插件主動指使本機的應用程式.
但是這樣以為安全就太天真了!
為何Google首頁卻明白地使用Https網址, 其他網站卻光禿禿的? 偽裝的入口網站才是最危險的!
可以試試登入其他需要安全驗證的網站, 例如網路銀行或Email. Chrome就會自動引導至SSL-TLS加密頁, 登入後仍是Https網址. 如圖:
網站對會員個資應有登入的安全驗證機制, 以往由瀏覽器來承擔風險是不公平的. 對我們這種一般網民來說, 哪裡會知道如何處理SSL登入才對? 有的網站, 例如facebook.com或twitter.com這類可能包含註冊隱私的網站所申請的安全憑證登入方式卻被chrome21版忽略, 而採取無加密傳輸層. 所以新版的Chrome 21才出現三天, 市占率立刻掉了 1% . 因為使用者對這個版本產生不信任感, 於是使用別種瀏覽器或試圖恢復舊版. 面對這種問題, Google居然無動於衷?!
現在能做的是將 "設定" ➤ "顯示進階設定" ➤ "HTTPS/SSL管理憑證" 勾選下方的 "檢查伺服器憑證的撤銷情況". 盡量避免讓假網站有機可趁.
需要登入帳密的網站, 加入書籤前修改成 https:// 前綴, 如圖:
至於無法強制使用https的網站, 如Yahoo, 有其安全驗證機制吧?
Author Summary
Subject : Chrome安全性憑證 Https登入問題
Author : - Dream Talker Updated at: 6:59 AM
Votes : 5.0 - based on 2015
Google瀏覽器Chrome網址列鎖頭圖示變成紙頁 -
Author : - Dream Talker Updated at: 6:59 AM
Votes : 5.0 - based on 2015
Google瀏覽器Chrome網址列鎖頭圖示變成紙頁 -
5 Stars - Reviews
https不是比較安全?新版幹嘛多此一舉取消咧?
ReplyDelete當然是比Http安全, 以前的地球圖案跟現在的紙頁圖案都不是Https, 該說它們都一樣. 新版只有在"必須"使用SSL登入的網站才會啟用Https. 啟用了Https就需要處理更多加密交換訊息, 為了讓Chrome讀取網頁更快速, 做了這樣的更新.
DeleteYAHOO根本不能加HTTPS啊~
ReplyDelete你又說以前的地球=現在的紙張圖案,好像又不嚴重,搞糊塗了
我用YAHOO留言會不會怎樣?
啊!怎麼辦?我要留言,他說我的YAHOO ID是錯誤的。
哈哈! 留言板快被妳重複的留言淹沒了. 我只留下兩個留言.
Delete其實yahoo在登入時還是有經過https驗證, 不過我不清楚其機制為何, 所以無法答覆. 這次Google瀏覽器改版有個問題, 就是會讓使用者產生疑慮. 應該在首頁引導新版特色, 安全說明; 而不是公告完全沒說明. 還要使用者到處找資訊, 用舊的制式說明讓人搞不清楚現在我到底是安全的? 還是不安全的?
忽然想到!! Firefox的新版說明就做得很好.
Delete每一次重大改版更新會讓使用者知道.
怎麼辦?YAHOO ID留言顯示錯誤,變成匿名。試了好幾次都不行
ReplyDelete我是Angela
我是不知道妳留言時遭遇甚麼狀況? 我收到的留言都是Open ID, 不是匿名.
Delete上個月發生一件事. 駭客破解Yahoo安全機制, 取得45萬筆個資公布在網路上. 主要是"警惕"Yahoo的安全漏洞可輕易入侵. 可能是如此, 現在把Yahoo帳戶整合, Open ID也同樣使用Yahoo社交名片.
你是否記得, Blogger開始使用Google+帳號時也是讓人搞不清楚.
像我舊的留言是"Deam Talker"; 新的留言變成"Mark X". 可能Yahoo正在整合個人對外名片, 只是Open ID還沒弄好吧?
請問,您寫:'需要登入帳密的網站, 加入書籤前修改成 https:// 前綴'
ReplyDelete有些網站顯示這個網頁無法使用,不能使用https登入.
使用安全傳輸層要經過公證機構發給憑證, 該網站沒有申請, 當然不適用Https的前綴. 但是例如Facebook有使用安全憑證, 可以在帳戶設定的security項目找到設定登入方法, 無論在何處登入帳號都會依照Https登入的設定. 使用者各自注意就是.
Delete我只是個愛發牢騷的鄉民, 您的Blogger內容才是造福鄉民的好物.
ReplyDelete