Google Chrome blokuje już niektóre rodzaje „mieszanej treści” w internecie. Teraz Google ogłosił sprawa staje się jeszcze poważniejsza: od początku 2020 roku Chrome będzie domyślnie blokować wszystkie mieszane treści, niszcząc niektóre istniejące strony internetowe. Oto, co to oznacza.
Spis treści:
Co to jest zawartość mieszana?
Istnieją dwa rodzaje treści: treści dostarczane przez bezpieczne, zaszyfrowane połączenie HTTPS oraz treści dostarczane przez niezaszyfrowane połączenie HTTP. W przypadku korzystania z protokołu HTTPS treści nie można podsłuchiwać ani modyfikować podczas przesyłania, dlatego krytyczne witryny internetowe oferują szyfrowanie podczas przetwarzania informacji finansowych lub prywatnych danych.
Internet przenosi się do bezpiecznych witryn HTTPS. Jeśli łączysz się ze starszą witryną HTTP bez szyfrowania, Google Chrome ostrzega teraz, że te witryny „nie są bezpieczne”. Obecnie Google domyślnie ukrywa nawet wskaźnik „https: //”, ponieważ witryny powinny być domyślnie bezpieczne. Nowy standard HTTP / 3 będzie miał wbudowane szyfrowanie.
Jednak niektóre strony internetowe nie mogą obsługiwać ani całkowicie protokołu HTTPS, ani protokołu HTTP. Niektóre strony internetowe są dostarczane przez bezpieczne połączenie HTTPS, ale pobierają obrazy, skrypty lub inne zasoby przez niezaszyfrowane połączenie HTTP. Takie strony internetowe mają „mieszaną zawartość”, ponieważ nie są w pełni bezpieczne. Sama strona internetowa nie mogła zostać zmodyfikowana, ale może pobrać skrypt, obraz lub ramkę iframe (stronę internetową wewnątrz „ramki” na innej stronie internetowej), która mogła zostać zmodyfikowana.
Dlaczego treści mieszane są złe
Zawartość mieszana jest myląca. W jakiś sposób przeglądasz stronę internetową, która jest zarówno bezpieczna, jak i niezabezpieczona. Na przykład zwykle bezpieczna strona internetowa może pobierać plik JavaScript przez HTTP. Ten skrypt można zmodyfikować – na przykład, jeśli jesteś w publicznej sieci Wi-Fi, która nie jest godna zaufania – aby robić wiele nieprzyjemnych rzeczy na stronie internetowej, od monitorowania naciśnięć klawiszy po wstawianie śledzącego pliku cookie.
Chociaż skrypty i elementy iframe – „zawartość aktywna” – są najbardziej niebezpieczne, nawet obrazy, filmy i treści z domieszką dźwięku mogą być ryzykowne. Na przykład wyobraź sobie, że przeglądasz bezpieczną witrynę handlu akcjami, która pobiera obraz historii akcji za pośrednictwem protokołu HTTP. Ten obraz nie jest bezpieczny – mógł zostać zmodyfikowany podczas przesyłania, aby pokazać nieprawidłowe szczegóły. Ponadto, ponieważ został dostarczony przez niezaszyfrowane połączenie, każdy, kto szpieguje przesyłane dane, prawdopodobnie wie, na jakie akcje patrzysz.
Mieszanie takich treści to zły pomysł. Jeśli strona internetowa korzysta z protokołu HTTPS, wszystkie jej zasoby również powinny być pobierane za pośrednictwem protokołu HTTPS. To tylko historyczny przypadek – Internet zaczął się od protokołu HTTP, a strony internetowe stopniowo uaktualniano do HTTPS. Jak to zrobili, nie zawsze aktualizowali się, aby wszędzie korzystać z zasobów HTTPS. Lub mogli polegać na zasobie innej firmy, który w tamtym czasie nie obsługiwał protokołu HTTPS.
Teraz, gdy Google i inni dostawcy przeglądarek utrudniają i zniechęcają mieszaną zawartość, strony internetowe będą musiały to uporządkować, aby ich strony nadal domyślnie działały.
Co dokładnie zmienia się w Chrome?
Chrome obecnie blokuje mieszane skrypty i elementy iframe. W Chrome 80, który zostanie udostępniony kanałom wczesnej wersji w styczniu 2020 roku, Chrome będzie blokować mieszane zasoby audio i wideo – technicznie rzecz biorąc, spróbuje je załadować przez bezpieczne połączenie HTTPS i zablokuje je, jeśli nie. Obrazy mieszane zostaną załadowane, ale Chrome wyświetli komunikat „Niezabezpieczona”. W Chrome 81 Chrome również przestanie ładować mieszane obrazy. Użytkownicy mogą zezwolić na ładowanie mieszanej zawartości, ale domyślnie nie będzie.
To wszystko jest częścią zwiększania bezpieczeństwa sieci. Post na blogu Google mówi, że oczekuje się, że komunikat „Niezabezpieczony” „zmotywuje strony internetowe do migracji swoich obrazów do HTTPS”.
Jak Chrome pozwoli Ci odblokować zawartość mieszaną
Chrome już blokuje niektóre typy mieszanej treści za pomocą ikony tarczy na pasku adresu i komunikatu „Zablokowano niezabezpieczoną zawartość”. Możesz zobaczyć, jak to działa przykładowa strona o mieszanej zawartości utworzone przez Google. Na przykład, aby odblokować skrypt z mieszaną zawartością, musisz kliknąć łącze o nazwie „Załaduj niebezpieczne skrypty”.
Jeśli zgadzasz się na uruchamianie zawartości mieszanej, strona internetowa zmienia się z bezpiecznej na niezabezpieczoną.
Google uprości to w Chrome 79, który zostanie wydany w grudniu 2019 r. Będziesz musiał kliknąć ikonę kłódki po lewej stronie adresu strony, kliknąć „Ustawienia witryny”, a następnie odblokować mieszaną zawartość tej witryny.
Ta opcja staje się bardziej zagłębiona, ale o to chodzi: większość ludzi nie powinna nigdy potrzebować włączać mieszanej zawartości dla witryny. Twórcy witryn internetowych muszą naprawić swoje witryny, aby bezpiecznie dostarczać zasoby. Dzięki tej opcji każdy, kto korzysta ze starszej witryny firmowej, będzie mógł nadal uzyskiwać do niej dostęp, nawet jeśli zawartość mieszana jest wyłączona dla wszystkich.
Jeśli potrzebujesz witryny, która tego wymaga, nie martw się: Google nie ogłosił daty usunięcia opcji ładowania mieszanej zawartości w Chrome. Przeglądarka internetowa Google będzie domyślnie blokować wszystkie mieszane treści, ale nadal będzie oferować opcję włączania mieszanych treści w dającej się przewidzieć przyszłości.
A co z innymi przeglądarkami?
Chrome nie jest sam. Firefox blokuje również mieszane treści, takie jak skrypty i elementy iframe, i wymaga kliknięcia przycisku „Na razie wyłącz ochronę”Ustawienie, aby go ponownie włączyć. Oczekujemy, że Mozilla pójdzie w ślady Google. Safari firmy Apple jest agresywne blokowanie treści mieszanych, także.
I oczywiście nowa przeglądarka Edge firmy Microsoft będzie oparta na kodzie Chromium, który stanowi podstawę dla Google Chrome i będzie zachowywać się jak Chrome.