Google Chrome 68 一次堪比小型安全软件的更新

Google Chrome 在 7 月 24 日再次低调更新至版本 68.0.3440.75，这次更新绝对不单单是“标记出不安全 HTTP 网站”而已，除了这个“不安全”标记，Chrome 68 还带来了不少炫酷的安全新功能。今天明月就给大家详细的分享一下这次 Google Chrome 里程碑式的更新。

标记出不安全 HTTP 网站

据 Cloudflare 推测，全世界流量排在前 100 万名得网站中，有 542605 个都不使用或将用户重新定向到 HTTPS 版本，这也就意味着，用户使用 Chrome 68 访问网页时，大概率会见到“不安全”的标记。

Chrome 68 带来两大反恶意广告功能

在安全上，恐怕最亮眼的就是 Chrome 的全新恶意广告防御机制。

比如，Chrome 现在能拦截臭名昭著的 iframes（通常会嵌入在网页中）了，此前这种将上层页面重新定向到另一个 URL 的操作让用户深恶痛绝。其实谷歌从 Chrome 64 就开始逐渐应用这种机制了，不过在 Chrome 68 中才算全面上线。

当然，iframe 并没有被 Chrome 一巴掌拍死，如果用户愿意和它互动，它也可以对页面进行重新定向。不过整体来说，这一改变确实对拦截恶意广告起了巨大作用。

明月看法

这是不是意味着困扰站长们，特别是明月自己很久的那种恶意域名镜像+iframe 引用会得到有效的遏制呢？这 Google Chrome 是断了多少灰色产业链人的饭碗呀？哈哈！

其次，Chrome 68 添加了全面的 tab-under 行为拦截功能。所谓的“ tab-under” 其实就是当用户点击一个链接，网站会在另一个标签页打开新的 URL，而老的标签页不但不关闭，还成了各种广告的集散地。最近几年来，tab-under 技术在互联网上泛滥成灾并成为一颗毒瘤。

Chrome 与 tab-under 行为的斗争

在另一个安全领域，Chrome 68 也实现了新的里程碑。一直以来，谷歌都试图阻止第三方软件（大多数为杀毒软件）在 Chrome 主进程中植入代码，而现在这项工作进入第二阶段了。

去年 11 月份谷歌曾解释称，Chrome 68 会开始拦截第三方软件在 Chrome 主进程中植入代码，如果拦截会造成 Chrome 无法启动，浏览器会重启并允许第三方软件启动，但还是会显示警告以指导用户移除该第三方软件。

明年 1 月份，谷歌更是会下狠手，彻底移除在 Chrome 中植入第三方代码的功能，并对这种行为进行彻底的封杀。

明月评注

这种植入第三方代码对于我们博客站长来说是个很大的毒瘤，最近很多站长都反映 WordPress 站点账号丢失明月就感觉跟这种植入第三方代码有很大的关系，甚至会锁定 WordPress 数据库里特定账号的密码，无论如何修改密码都会被重置锁定。

API 和网页端也有大变化

不过，新的 Chrome 68 可不是简单的修修补补并添加些安全功能的挤牙膏产品，新版浏览器的 API 和网络标准支持的升级工作也在稳步推进。

Chrome 68 最有趣的新增功能恐怕就是支持 Payment Handler API 了。这个新的 API 其实就是 Chrome 61 中出现的 Payment Request API 的小伙伴，有了它整个在线支付的过程会简化很多。

除此之外，谷歌还听取了开发者社群的反馈，专门修改了“添加到主屏幕”（Add to Home Screen）功能，将弹出功能的控制权下放给开发者。

当然，Chrome 68 中还新增了 Page Lifecycle API，未来该 API 将成为大多数网页开发者的必备功能之一。有了 Page Lifecycle API，开发者就能根据用户设备的“生命周期”（CPU、电池、浏览器标签页、前台/后台状态等都会开率在内）对网站进行微调，以提升用户体验。

看到这里大家是不是就明白了这次 Google Chrome 68 的更新为啥是个“里程碑式的更新”了？并且绝不是仅仅“标记出不安全 HTTP 网站”这么简单了，像拦截臭名昭著的 iframes 引用和拦截第三方软件在 Chrome 主进程中植入代码绝对是安全上的一个亮点，还没有更新的你还不尽快更新去？