谷歌Chrome安全策略更新 - 谷歌宣布从2026年10月发布的Chrome 154版本开始默认启用“始终使用安全连接策略” [1] - 用户尝试访问HTTP网站时，Chrome将进行弹窗警告并拒绝加载，除非用户选择“无视风险，坚持访问” [3] - 用户对某个HTTP网站放行后，下次访问将默认执行，仅在清除浏览器数据后需重新确认 [3] HTTP协议的安全风险 - HTTP协议使用明文传输且数据未加密，通信内容可能被窃听，且无需验证通信方身份和报文完整性，易被黑客篡改信息或伪装身份 [4] - 黑客曾使用抓包工具或嗅探器窃取游戏官网与玩家浏览器间的通信内容以盗取账号密码 [4] - HTTP协议无法确定通信双方是否有访问权限，导致网站服务器对无意义请求照单全收，是DDoS攻击在PC互联网时代频繁的原因之一 [4] HTTPS协议的作用与局限 - HTTPS由HTTP加上TLS/SSL协议构建，使用非对称RSA加密算法将明文变为密文，确保传输内容即使被截获也呈乱码 [6] - HTTPS协议仅能确保用户与服务器的通信安全及内容不被篡改，例如确保访问的是baiducom而非baiiducom，但不会为网站本身的安全性背书 [8] - 采用HTTPS协议的网站在Chrome中不会弹出安全提示，即使该网站是用于网络钓鱼或电信诈骗 [8] 安全策略的潜在影响与挑战 - 谷歌强化用户对HTTP不安全的认知，可能同时加固用户对HTTPS的盲目信任，而HTTPS并不能保证网站本身人畜无害 [8][11] - 该策略存在与“360悖论”类似的逻辑：若用户知晓安全连接的含义则无需此功能保护，若用户一无所知则此功能也难保证其上网安全 [11][13] - 当前黑客已较少使用抓包工具主动窃听，转而通过自建钓鱼网站等待用户主动提交敏感信息 [10]