HTTPS成主流，Chrome將不再標示HTTPS網頁為「安全」

Google 力推HTTPS網頁成主流， Google周四宣佈，從9月起將移除HTTPS網頁網址上的「安全」標示，而之後用戶在HTTP網頁輸入資料時，Chrome就會顯示「不安全」的標示。

Google表示，近年Chrome陸續推動網頁安全標示後，HTTPS網頁所佔比例已經大幅上升。但對使用者來說，網際網路的安全性應該是預設值，有危險時再提出警告才對。因此繼今年稍早宣佈將從7月推出的Chrome 68將所有採用HTTP協定傳輸的網頁標示為「不安全」後，Google將再進一步，移除網頁上正面的安全標示。第一步是從今年9月釋出的Chrome 69開始，所有HTTPS網頁將不再標示為「安全」。

接著，因為過去使用HTTP為傳輸協定的網頁比例太高，因此Google無法使用強烈的紅色警示，但現在HTTP網頁比例下降，因此從今年10月釋出的Chrome 70開始，使用者若在HTTP網頁輸入電郵或密碼等資訊時，Chrome的網址列的「不安全」(Not Secure)字樣就會從灰色變為紅色。

Google 表示導入HTTPS的成本和難度已經比以前下降，呼籲網頁開發人員儘速導入HTTPS。

根據Google的統計，Android與Windows平台上藉由Chrome造訪的網頁中，已有68%採用HTTPS，而Chrome OS與Mac版Chrome造訪的HTTPS網頁比例更高達78%。

可對所有HTTP網站發出「不安全」警告的Chrome 68來了!

Google於本周二（7/24）釋出了Chrome 68，該版本最大的變更是將所有基於HTTP傳輸的網頁都列為不安全。

早期由於採用HTTPS加密傳輸協定的網頁並不多，因此Chrome會在網址列上針對這些採用HTTPS的網頁特別加註「安全」（Secure）字樣，而並未對HTTP網頁展開特定行動，一直到2017年1月的Chrome 56才將要輸入密碼、信用卡等機密資訊的HTTP網頁標註為「不安全」（Not Secure），繼之在2017年10月的Chrome 62將所有需要填入資料的HTTP網頁都列為「不安全」，現在則不管需不需要填入資料，只要是使用未加密的HTTP傳輸協定都會被Chrome 68視作「不安全」網頁。

Chrome在全球瀏覽器市場握有超過6成的佔有率，Google的大力推動有效提振了網站管理人員與使用者的安全意識。從2015年迄今，Android平台上採用HTTPS的Chrome流量從42%增加到76%，ChromeOS平台的HTTPS流量則從67%增加到85%，而全球前100大網站中，以HTTPS作為預設值的數量也從37個成長到83個。

在HTTPS成為主流之後，Google於今年9月釋出的Chrome 69將移除HTTPS網頁上的「安全」字樣，只會保留HTTP網頁的「不安全」標識，而今年10月出爐的Chrome 70還額外會在使用者嘗試於HTTP網頁上輸入任何資料時，讓原本為黑色的「不安全」字樣變成紅色。

Google也趁機推銷旗下的.app網域名稱，表示若要建置一個全新的HTTPS網站，可以考慮申請預設即採用HTTPS協定的.app網址，若只是要升級則可向Let’s Encrypt申請免費憑證。

16GB記憶體開分頁還是會當？Chrome 68版這樣解決瀏覽器開太多分頁的問題

Chrome瀏覽器過去一直因為佔用了大量的系統資源被使用者抱怨，雖然說先前Chrome瀏覽器已經做了一些改善，不過對於記憶體不大的用戶來說，多開幾個分頁之後還是會顯得很吃力。而前幾週的Chrome 67版本，因為要解決Intel處理器的「幽靈」（Spectre）漏洞問題，預設啟動「網站隔離」（Site Isolation）功能，副作用是佔用更多記憶體，更是記憶體小的用戶叫苦連天。

不過，Chrome還是有針對記憶體的問題做出了改進，在新版的Chrome 68版中，引入的Page Lifecycle interface，將可以讓瀏覽器「凍結」那些目前沒在使用的網站分頁所佔用的資源，然後等你需要這些網站的時候再去啟動他們。根據Chrome的工程師Philip Walton表示，這個功能將可以讓瀏覽器更主動地優化系統資源，特別對瀏覽網頁的使用者可以帶來明顯改進的體驗。

值得說明的是，這項改進主要是針對網站開發者而設計，因此在短期之內，一般使用者瀏覽網頁時應該不會有特別的感受。必須要等到越來越多開發者加入，對於使用者來說才會有感。

Page Lifecycle interface的設計其實是向時下的作業系統參考而來，在目前的主流作業系統上，應用程式的生命週期是現代的作業系統管理資源的關鍵方法，在Android、iOS以及最近的Windows上都一樣。應用程式可以在不在前台被使用的時候，由系統來決定將這個應用程式暫時「凍結」或是開啟，然後將挪出來的記憶體以及其他資源，拿去給其他正在使用的應用程式來使用，這種作法讓作業系統可以隨時選擇對使用者最好的方法去重分配系統資源。

但是在Web上，過去並沒有類似生命週期的這種概念，每一個開著的分頁都必須要「活著」，而當越來越多的分頁被開啟，就會佔用了像是記憶體、CPU、電池、網路等資源越來越多，最後導致使用者覺得系統卡卡甚至用不下去。

幾年前Chrome就有了「 Tab Discarding （分頁捨棄功能）」，Chrome會在系統記憶體快要不夠的時候，自動捨棄一些不用的分頁佔據的記憶體空間，雖然這些分頁依然在瀏覽器上，但是下次你要點開這些分頁時，會看到頁面會重新載入。

而在Chrome 68則是給予開發者更多的功能，比方說網站設計者可以針對被凍結的分頁來選擇捨棄以釋放出記憶體，而未來網站開發者可以多加利用Page Lifecycle interface，瀏覽器才會知道怎麼樣做出更好的資源調度，以帶給使用者更好的體驗。

Page Lifecycle interface也適用於漸進式網頁應用程式（Progressive Web Apps，PWAs），PWAs指的是表現得像是原生程式的網站，或者說它們是由網頁架構所衍生，並採用網頁技術的程式。根據Chrome資深程式設計師 Alex Russell表示，透過Page Lifecycle interface的改進，未來手機上的PWAs在記憶體的調度上會更接近于原生程式，也會有更好的效能。

Chrome十歲了! Chrome 69大改版

Google旗下的Chrome瀏覽器在本周滿十歲了，為了替Chrome慶生，周二（9/4）出爐的Chrome 69進行了大改版，除了在造訪HTTP網頁時標示「不安全」，且在執行Flash內容時必須取得使用者的明確同意之外，Chrome 69還微幅變更了介面，也改善了密碼管理與Omnibox功能。

當Google於2008年9月2日釋出Chrome瀏覽器時，它在開放下載的24小時就達到全球1%的市佔率，接著它在2009年超越蘋果的Safari、在2011年超越Mozilla的Firefox，並於2016年正式超越IE，成為全球最受歡迎的瀏覽器。

根據NetApplications的最新統計，Chrome在PC平台的市佔率達到62%，已遠遠領先IE的11.87%、Firefox的10.79%、Edge的2.49%與Safari的3.83%。它在行動平台亦取得62.75%的市佔率，高於Safari的26.61%。

有鑑於HTTPS加密傳輸已成為主流，在本周問世的Chrome 69中，不再以「安全」字樣來標示HTTPS網頁，而是會在Chrome造訪未加密的HTTP網頁時顯示「不安全」（Not Secure）。

此外，從2016年第四季開始，Chrome用戶在「首度」造訪基於Flash的網站時，就必須手動啟用Flash，而自Chrome 69之後，只要重新啟動Chrome，在造訪任何基於Flash的網站時，「每次」都得取得使用者的同意才能啟用Flash。

由於Adobe去年已宣布要在2020年終止對Flash的支援，因此Google也決定將在2020年完全移除Chrome對Flash的支援。

除了上述兩項改變之外，Chrome 69的介面採用了更圓潤的設計，新的圖示與調色，企圖建立一個更簡潔的外觀來增加用戶的生產力，亦變更分頁標籤的形狀以便能清楚呈現標籤所屬網站。

Chrome 69還強調可更精準地填入密碼、地址或信用卡號碼；另也改善密碼管理功能，當需要建立新密碼時，Chrome會自動產生一個複雜密碼並加以儲存，使用者只要登入Google帳號，就可同時在PC或行動裝置上取用該密碼。

在整合了網址列與搜尋功能的Omnibox中，使用者只要輸入搜尋關鍵字，Omnibox除了會推薦搜尋文字之外，也會直接顯示答案。倘若使用者利用3個Chrome視窗開啟了數十個分頁，埋首於雜亂的資料中時，假設要再於Omnibox中搜尋已造訪的內容時，Chrome就會告訴你該分頁已被開啟，並能直接切換至該分頁。

本周出爐的Chrome 69正式版支援Windows、macOS、Linux、Android與iOS等平台，使用者可藉由Chrome官網、Google Play或App Store下載。

新版Mega擴充套件遭駭，駭客能竊取Chrome使用者的加密貨幣

瀏覽器的擴充套件出現漏洞，外洩瀏覽器儲存的使用者個人資料時有所聞，但除了使用者存取各個網站服務的帳號、密碼，駭客甚至進一步想要對受害者的加密貨幣錢包下手。這樣的情況，以往大多是出現在來路不明的擴充套件，不過，現在即使是網站服務廠商推出的軟體，也要小心可能被駭客竄改。根據一名化名為SerHack的義大利門羅幣開發者在推特上指出，知名的雲端檔案儲存服務廠商Mega，才剛發布新版（3.39.4）的Chrome專用擴充套件，程式碼疑似遭駭客竄改，被發現截錄多個網站密碼的內容，而且會竊取使用者的加密貨幣錢包私鑰憑證，Google接獲通報之後，已經緊急下架處理。

根據這名門羅幣的開發者指出，上述新版的Chrome擴充套件，會截取使用者存放在瀏覽器裡的帳號與密碼，包含了Google、微軟、Amazon，以及GitHub等網站的身分驗證資料

值得留意的是，除了知名網站的帳號與密碼之外，SerHack表示，這個疑似被駭客竄改的擴充套件，還會竊取使用者的門羅幣與以太幣錢包的私鑰憑證，換言之，使用者不光是身分外洩，還可能因此直接面臨虛擬貨幣的財產損失。

不過，稍微值得慶幸的是，這樣的問題，只有出現在Chrome專屬套件，Firefox版本並未遭到竄改。而對於這個有問題的擴充套件，Mega尚未對此做出回應。

Chrome 69修補40個漏洞，發出近百萬元獎金

Google於本周二（9/4）釋出Chrome 69，除了新增各式功能之外，也修補了40個安全漏洞，總計發出了31,500美元（台幣約97.8萬元）的抓漏獎金。

這40個安全漏洞有些是由Chrome團隊自行發現，有些則是來自外部研究人員的舉報，當中，獲得最高5000美元獎金的是由Brendon Tiszka所揭露的CVE-2018-16065，這是一個存在於V8 JavaScript引擎的越界寫入（out of bounds write）漏洞，成功的攻擊可執行任意程式碼。

其它6個同樣被列為高度嚴重的安全漏洞分別是CVE-2018-16066、CVE-2018-16067、CVE-2018-16068、CVE-2018-16069、CVE-2018-16070與CVE-2018-16071。

Google表示，他們計畫等到大多數的用戶都升級到Chrome 69之後再公布漏洞細節，此外，如果漏洞是存在於其它專案也仰賴的第三方函式庫，且還未被修補，Google也會限制相關漏洞資訊的存取權。

但非營利的網路安全組織CIS（Center for Internet Security）則透露，此次Chrome 69所修補的漏洞中，除了將允許駭客執行任意程式之外，駭客也能獲得機密資訊，繞過安全限制，執行未被授權的行動，或是造成服務阻斷的狀況。因此，不管是為了體驗新功能或是安全性，部署Chrome 69方為上策。

然而，不少Chrome用戶發現，他們在部署Chrome 69之後，透過瀏覽器所看到的字型變模糊了，包括網頁中的文字，或者是在Omnibox中搜尋後所出現的建議文字。目前尚不清楚Chrome 69讓字型變模糊的原因，且似乎只影響Windows平台，Chrome團隊則已展開調查。

Chrome 69瀏覽器與網站身份連動登入挨轟，Google出面止血！承諾下一版改進

Chrome 69隱私爭議不斷，其瀏覽器與Google服務的一致身分登入功能，以及當用戶手動刪除所有Cookie，Chrome瀏覽器仍會留下Google身份驗證Cookie，這兩項Chrome 69的新設定遭用戶激烈反彈。官方今緊急出來止血，承諾將在Chrome 70增加選項讓使用者自己控制登入關連，並且Google的Cookie將比照其他網站Cookie，一視同仁清除。

恰逢Chrome十歲，Chrome 69是一個重大改版，不只外觀有了大幅度的改變，採用更加圓滑的設計，配合新的圖示和配色，建立更簡潔的使用者介面，在功能上也做了不少調整，修改底層引擎增加效能，同時也一舉修補了40個漏洞，大幅提升瀏覽器安全性。不過，近日Chrome 69的兩項新改動卻遭到用戶嚴重反彈，直轟Google忽視使用者隱私。

引來最大砲火的就是Chrome團隊內部稱為瀏覽器與餅乾罐間一致身分（Identity Consistency Between Browser and Cookie Jar）的功能，當使用者使用Chrome登入Gmail或YouTube等Google服務時，Chrome瀏覽器也會被自動登入，這個過程不會出現任何警示，也沒有任何選項可以控制，用戶只能藉由視窗右上方的登入狀態察覺。雖然使用者在登出Google帳號後，Chrome也會登出，而且Chrome也不會自動同步瀏覽器設定，但還是遭到使用者批評，認為此舉影響用戶的隱私與信任。

除了關聯登入機制外，Chrome 69另一個引來砲火的爭議設定，就是其Cookie清除功能。當使用者在瀏覽器中清除瀏覽資料之後，Google的所有服務都不會被登出，紅帽傳教士Jan Wildeboer最先在推特上抱怨了這件事，隨後經過Contentpass的技術長Christoph Tavan測試後發現，當使用者刪除Google服務Cookie後，Chrome瀏覽器會立即重新建立這些Cookie，因此看起來像是使用者無法刪除這些Cookie一樣，但Cookie內容以及日期都會改變。

社群對這兩大隱私相關設定的炮火，逼得Chrome產品經理Zach Koch親自上戰場滅火，Chrome 70將會依照使用者回饋的意見修改，提供更多選項供使用者控制。Zach Koch提到，他們仍然認為登入一致性設計能提供使用者更好的使用體驗，但他們承諾將增加控制選項，允許用戶關閉網頁與瀏覽器登入連動，停用此功能的使用者，登入Google服務將不再會登入Chorme瀏覽器。Chrome 70也將會更新使用者介面，更明顯的顯示資料同步狀態，讓使用者清楚當下登入以及資料同步的狀態。

Chrome 70也會改變瀏覽器清除身分驗證的方式，Zach Koch提到，在Chrome 69瀏覽器會保留Google身份驗證的Cookie，方便使用者在清除Cookie仍能保持Google服務登入狀態，Chrome 70將對此做出改變，所有Cookie將一併被清除。