Google Chrome blochează deja unele tipuri de „conținut mixt” pe web. Acum, Google a anunţat devine și mai serios: începând cu începutul anului 2020, Chrome va bloca în mod implicit tot conținutul mixt, distrugând unele pagini web existente. Iată ce înseamnă asta.
Cuprins
Ce este conținutul mixt?
Există două tipuri de conținut aici: conținut livrat printr-o conexiune HTTPS sigură și criptată și conținut livrat printr-o conexiune HTTP necriptată. Când utilizați HTTPS, conținutul nu poate fi iscusit sau manipulat în tranzit, motiv pentru care site-urile web esențiale oferă criptare atunci când se ocupă de informații financiare sau date private.
Web-ul se mută către site-uri web HTTPS securizate. Dacă vă conectați la un site web HTTP mai vechi fără criptare, Google Chrome vă avertizează acum că aceste site-uri web „nu sunt sigure”. Google ascunde acum chiar și indicatorul „https://” în mod implicit, deoarece site-urile ar trebui să fie sigure în mod implicit. Și noul standard HTTP/3 va avea criptare încorporată.
Dar unele pagini web nu pot fi nici complet HTTPS, nici complet HTTP. Unele pagini web sunt livrate printr-o conexiune HTTPS securizată, dar atrag imagini, scripturi sau alte resurse printr-o conexiune HTTP necriptată. Astfel de pagini web au „conținut mixt”, deoarece nu sunt complet sigure. Pagina web în sine nu a putut fi modificată, dar poate introduce un script, o imagine sau un iframe (o pagină web în interiorul unui „cadru” pe altă pagină web) care ar fi putut fi modificată.
De ce conținutul mixt este rău
Conținutul mixt este confuz. Vizualizați cumva o pagină web care este atât sigură, cât și nesigură. De exemplu, o pagină web de obicei sigură și securizată ar putea extrage un fișier JavaScript prin HTTP. Acest script ar putea fi modificat – de exemplu, dacă vă aflați într-o rețea Wi-Fi publică care nu este de încredere – pentru a face multe lucruri urâte pe pagina web, de la monitorizarea apăsărilor de taste până la inserarea unui cookie de urmărire.
În timp ce scripturile și cadrele iframes—„conținut activ”— sunt cele mai periculoase, chiar și imaginile, videoclipurile și conținutul mixt audio ar putea fi riscante. De exemplu, imaginați-vă că vizualizați un site web securizat de tranzacționare cu acțiuni care atrage o imagine a istoricului unei acțiuni prin HTTP. Imaginea nu este sigură – ar fi putut fi modificată în timpul tranzitului pentru a afișa detalii incorecte. De asemenea, pentru că a fost livrat printr-o conexiune necriptată, oricine snooping pe datele în tranzit probabil știe ce stoc vă uitați.
Este o idee proastă să amestecați astfel de conținut. Dacă o pagină web utilizează HTTPS, toate resursele acesteia ar trebui să fie atrase și prin HTTPS. Este doar un accident istoric – web-ul a început cu HTTP, iar site-urile au trecut treptat la HTTPS. Așa cum au făcut-o, nu s-au actualizat întotdeauna pentru a utiliza resursele HTTPS peste tot. Sau, este posibil să fi depins de o resursă terță parte care nu accepta HTTPS la momentul respectiv.
Acum, în condițiile în care Google și alți furnizori de browsere fac conținutul mixt mai dificil și descurajator, site-urile web vor trebui să curețe lucrurile, astfel încât paginile lor web să continue să funcționeze în mod implicit.
Ce se schimbă exact în Chrome?
Chrome blochează în prezent scripturile și cadrele iframe mixte. În Chrome 80, care va fi lansat pe canalele de lansare timpurie în ianuarie 2020, Chrome va bloca resursele audio și video mixte – din punct de vedere tehnic, va încerca să le încarce printr-o conexiune HTTPS securizată și să le blocheze dacă nu o vor face. Imaginile mixte se vor încărca, dar Chrome va spune că pagina web este „Nu este sigură”. În Chrome 81, Chrome va opri și încărcarea imaginilor mixte. Utilizatorii pot permite încărcarea conținutului mixt, dar nu se va face în mod implicit.
Totul face parte din a face web-ul mai sigur. Postarea pe blogul Google spune că se așteaptă ca mesajul „Nu este sigur” „va motiva site-urile web să-și migreze imaginile la HTTPS”.
Cum vă va permite Chrome să deblocați conținut mixt
Chrome blochează deja unele tipuri de conținut mixt cu o pictogramă de scut în bara de adrese și un mesaj „Conținut nesigur blocat”. Puteți vedea cum funcționează în acest sens pagină de exemplu cu conținut mixt creat de Google. De exemplu, pentru a debloca un script de conținut mixt, trebuie să faceți clic pe un link numit „Încărcați scripturi nesigure”.
Dacă sunteți de acord să rulați conținutul mixt, pagina web se schimbă din Securizat în Nesecurizat.
Google va simplifica acest lucru în Chrome 79, care va fi lansat cândva în decembrie 2019. Va trebui să faceți clic pe pictograma de blocare din stânga adresei paginii, să faceți clic pe „Setări site”, apoi să deblocați conținutul mixt pentru site-ul respectiv.
Opțiunea devine mai îngropată, dar acesta este ideea: majoritatea oamenilor nu ar trebui să activeze conținut mixt pentru un site. Dezvoltatorii de site-uri web trebuie să-și repare site-urile web pentru a furniza resurse în siguranță. Această opțiune va asigura că oricine folosește un site de afaceri mai vechi poate continua să îl acceseze, chiar dacă conținutul mixt este dezactivat pentru toată lumea.
Dacă aveți nevoie de un site care necesită acest lucru, nu vă faceți griji: Google nu a anunțat o dată când va elimina opțiunea de a încărca conținut mixt în Chrome. Browserul web Google va bloca în mod implicit tot conținutul mixt, dar va continua să ofere o opțiune de activare a conținutului mixt în viitorul apropiat.
Dar alte browsere?
Chrome nu este singur. Firefox blochează și conținutul mixt, cum ar fi scripturile și cadrele iframe, și vă solicită să faceți clic pe un „Dezactivați protecția pentru moment” pentru a-l reactiva. Ne așteptăm ca Mozilla să calce pe urmele lui Google. Apple Safari este agresiv blocarea conținutului mixt, de asemenea.
Și, desigur, noul browser Edge al Microsoft se va baza pe codul Chromium care formează baza pentru Google Chrome și se va comporta ca Chrome.