據報道,Mozilla 將跟隨 Google Chrome 的腳步,開始阻止在 HTTP 和 HTTPS 頁面中加載 FTP 子資源。
這裏的 FTP 子資源,是指通過 FTP 協議,使用 src =“ftp://” 加載的具有 img、script 或 iframe 標籤的 資源,不包括在正常<a>鏈接內放置的 FTP 鏈接或直接在瀏覽器地址欄中輸入的 FTP 鏈接。
這麼做的原因在於 FTP 是不安全的協議,不支持現代加密技術,並且會破壞許多其他內置瀏覽器的安全和隱私功能,例如 HSTS、CSP 和 XSA 等。此外,許多惡意軟件分發活動通常依靠 FTP 服務器進行,並通過 FTP 子資源在用戶計算機上重定向或下載惡意軟件。
FTP 子資源將在 Firefox 61中被阻止
Mozilla 工程師表示,FTP 子資源限制將隨 Firefox 61發佈,目前計劃於6月26日發佈。
谷歌去年9月也採取了類似的方法來阻止 FTP 子資源的加載。從 Chrome 63開始,瀏覽器開始阻止 FTP 子資源加載,同時開始將在瀏覽器地址欄中訪問的 FTP 鏈接標記爲“Not secure”。
谷歌當時表示,在瀏覽器地址欄中加載的所有鏈接中有0.0026%是 FTP 鏈接,在 Firefox 上這個數字可能非常相似。
兩個瀏覽器團隊都表示,由於安全原因,FTP 支持很快就會在兩種瀏覽器中被完全棄用,但目前都還沒有設置具體日期。
END