当我启动浏览器(例如 Chrome)并在地址栏中输入某些内容(不是 URL,而是单词)时,它会将我重定向到 Google 搜索该单词。在这些情况下,没有通常的锁表示连接是安全的,而是表示连接不安全。如果我重新加载页面,锁就会出现,页面显示为安全。这并不总是在我启动浏览器时发生,但大多数时候都会发生。
这种行为的原因是什么?
我使用 Windows 10 版本 21H1 和 Google Chrome 浏览器。此外,只要系统要求我更新系统,我就会更新。
我刚刚安装了 Windows 10 版本 21H2 的更新,此后这种行为没有再出现,但由于这种行为并不总是发生,所以我不知道这是否与这次更新有关。
由于某种原因,我无法在问题迁移到这里后对其进行评论,因此我编辑了该问题:@LPChip 感谢您的建议,虽然我无法重现 Windows 更新以来的错误,但我检查了 Chrome 浏览器默认搜索引擎的 URL,但是对于 Google 网站,没有正常的 URL,而是类似 {Google:baseURL}search?q=... 和“google.com”作为缩写名称。我如何才能知道这是指 http 还是 https?为什么默认是 http?我没有更改此设置,我认为 Chrome 默认应该是 https?
更新:我刚刚又重现了这个问题。URL 是一个 https 地址(“https://www.google.com/search?q="...”),所以这似乎不是问题所在。
更新 2:感谢评论中的建议!我卸载了 Chrome,删除了 Appdata/Local/Google 目录中的 Chrome 目录,重新启动了 PC 并再次安装了 Chrome。这并没有解决问题。接下来,我将默认搜索 URL 设置为“https://www.google.com/search?q=%s”,这解决了问题。虽然这种行为不再发生,但我想知道:我现在没事了吗,或者这只是我的电脑上存在恶意软件的征兆,需要我处理?我的防病毒软件没有检测到任何可疑内容。我还发现了有趣的事情:行为取决于搜索词,例如,如果我搜索“yahoo”,则会发生该行为,但如果我搜索“test”,则不会发生该行为。这是否支持它是混合内容警告的假设?
答案1
潜在解决方案
定义一个明确的安全默认搜索引擎在 Chrome 设置区域内,然后将其设置为默认设置。重新启动 Chrome,然后重试,看看是否仍然会出现这种情况。
卸载 Chrome,重新启动,然后重新安装 Chrome。Chrome
/appdata目录中的某些内容可能已损坏,重新安装并重新启动可能会解决此问题。如果您的机器在本地或计算机加入的域中应用 Chrome 组策略,则强制执行的策略可能会导致这种情况,因此请与您的 IT 管理员联系。
答案2
免责声明:由于我和 OP 现在无法再复制“不安全”警告,因此此答案提供了两种理论,而不是明确的答案。对于一般测试,清除chrome://net-internals/#hstsGoogle 域的浏览器数据(cookie、缓存和 HSTS 数据)非常重要。
理论 1:HSTS
Chrome 中的默认搜索引擎通过前缀定义{google:baseURL},可以是http://google.com或http://www.google.com,因此是纯 HTTP URL。
在我的测试中,首先http://google.com重定向到http://www.google.com,然后重定向到https://www.google.com,它是 HTTPS 安全的,并设置HSTS 标头标头。但是,这可能取决于实际使用的 Google 服务器/数据中心,基于地理位置以及当前数据中心负载的时间。客户端也会影响这一点,例如curl,http://www.google.com既不会重定向到 HTTPS,也不会https://www.google.com使用 HSTS 标头进行响应。
因此,首次使用 Chrome 访问时,在重定向期间,中间会访问一个纯 HTTP URL,这可能会导致警告,即使最终 URL 是 HTTPS。
在页面重新加载时,如果不清除至少 HSTS 数据(chrome://net-internals/#hsts),Chrome 实际上并不会访问,http://www.google.com但开发人员工具会显示Status Code: 307 Internal Redirect; Non-Authoritative-Reason: HSTS该 URL,表明它会按预期在内部直接切换到 HTTPS URL,从而绕过纯 HTTP URL 以及警告。
理论 2:混合内容
首次访问时,根据搜索词,可能会加载外部纯 HTTP 资源,称为混合内容当父网站通过 HTTPS 提供服务时。这会引发“不安全”警告。
在页面重新加载时,当未清除此外部资源的浏览器缓存时,相同的资源已经存储在浏览器缓存中,因此不再从外部纯 HTTP URL 中提取,并且绕过警告。
但是,当用作搜索词时,Yahoo 徽标yahoo不是外部资源,而是直接从 Google 页面以 base64 编码的数据提供。前缀data:image/png;base64,表明了这一点,后面的字符或 URL 包含编码图像本身。直接通过地址栏打开此类 URL 会显示“不安全”图标,因为它确实不是 HTTPS 授权来源,但当作为 HTTPS 网站的资源提供时,它不会显示警告。虽然我们不希望 Google 网站出现这种情况,但根据搜索词,在未缓存的访问中可能会提供混合内容。
答案3
我能够通过搜索“yahoo”来重现该问题:请注意地址栏左侧的小(i)徽章。
这里的一个问题可能是搜索通过信息框提取的“Yahoo”徽标被归类为“不安全”项目(尽管实际上它是一个内联图像)。如果我只加载图像,地址栏左侧就会出现一个“不安全”图标。
所以,是的,你得到的可能是一个混合内容警告。 -但请看我在最后编辑的内容。
无论如何,它不会有任何危险。您的 PC 没有问题。如果出于某种原因,Google 生成的信息框中有一张图片通过非安全连接提供,您可能会遇到同样的问题,具体取决于您输入的搜索词。
更多信息:
正如您可以继续阅读谷歌支持页面,根据连接情况,浏览器会根据内容进行切换:
只有底部的“不安全或危险”才真正构成威胁,如下图所示:
编辑-可能的解释
我第二次尝试时无法重现该问题。但是,我注意到:如果您在地址栏中输入任何搜索词,然后按Enter,您会在一瞬间看到info or not secure图标。如果您输入任何您以前没有访问过的网站的 URL,而没有明确指定协议,您会看到相同的行为https:在页面加载期间,您会看到info or not secure图标,然后Secure在您被重定向到连接https并且浏览器能够检查所有内容的安全证书后,它会恢复为图标。
这使我猜测在以下情况下可能会发生这种行为:
- 自您上次使用浏览器以来,Google 已更新了其安全证书,旧证书不再有效
- 或者你刚刚启动浏览器,它正在忙着执行一些后台任务
- 或者由于短暂的网络中断导致某些数据包丢失,无法检查证书有效性。
- --> 结果是浏览器无法完全验证页面上所有元素的安全连接的有效性:它会在图标处“卡住”
info or not secure。
一旦您重新加载页面,就会检查安全证书并获取图标secure。
所以,无论如何,你的电脑没有问题。而且也没有发生任何危险。