【新知】Google Chrome 在 Web API 上的安全性增強

Google Chrome 50 版開始,一些在 HTML5 上的 Web APIs 將會需要使用來源為 HTTPS 網站 ( website ),才可以讓執行的功能正常運作。被影響的 APIs 包含:GeolocationFullscreenDevice motion 以及 Device orientation

 

這代表什麼?

簡單地說,除非您的網站是在 HTTPS 的通訊協定上,否則可能會無法正常運作。

 

誰會受到影響?

許多開發者使用 ArcGIS API for Javascript 或與其他並用。這些 APIs 也提供了一些主要的功能給使用者透過設定使用或是程式開發的方式、Web AppBuilder for ArcGIS 以及在 ArcGIS Online 或是 Portal for ArcGIS 上的 Map Viewer

舉例來說, Locate 部件 ( widget ) 使用了 Geolocation API 向使用者要求授權以允許網頁取得位置資訊。如果使用者同意了,網頁會將地圖移至使用者目前的位置。這個部件被用在 map viewer、Web AppBuilder、可設定的網頁樣板或是客製化網頁。

一旦 Chrome 被自動更新至 50 版,為了讓 Locate 部件正確執行,網站必須使用 HTTPS。如果 Locate 部件在 HTTP 協定上執行的話,使用者仍然可以在網頁上要求移至目前位置,但瀏覽器將不會有任何動作,只會出現一個警告視窗。

 

為什麼要作這個改變?

Chrome 為了要保護使用者的隱私不被網路攻擊者入侵。 有些功能例如要求使用者的位置,本來是不需要具安全來源的 ( HTTPS ),但它應該要避免未經授權就存取使用者個人的資訊。看起來其他各瀏覽器也將會依循這個前提讓這些功能需要經由安全來源才可以正常工作。這是為更好作準備,而且有更佳的安全性也不錯。

雖然這對安全性有更好的保障,但需要在網路主機上作一些改變讓這些功能可以正常運作。

 

您該作什麼改變?

為了讓所有功能都能如預期的執行,需要確認所有的網頁應用程式者是使用安全來源。可以依作下列方法設定您的組織、Portal 或 Server 使用 HTTPS:

 

Esri 會為您作些什麼?

從我們的角度來說,我們將會協助確認網站是否沒有使用安全來源。如果是的話,我們將關閉這些功能。我們將會在我們的部件或是應用程式上去執行這些設定。

 

互動國際的建議

我們建議在 Portal 或是 ArcGIS Online 設定僅允許透過 HTTPS 存取入口網站以及進行專案開發時可以讓您的 App 執行在 HTTPS 的網站上。

 

 

補充資訊:Google Chrome 升級相關資訊,如有其他問題歡迎與我們聯絡。

 

技術服務專線

電話:886-2-2658-5858 分機 6666

信箱: 這個 E-mail 地址已經被防止灌水惡意程式保護,您需要啟用 Java Script 才能觀看

 

 


 

作者:互動國際數位.技術服務處.鄒國信