Google Chrome již blokuje některé typy „smíšeného obsahu“ na webu. Nyní Google oznámil začíná to být ještě vážnější: Od začátku roku 2020 bude Chrome ve výchozím nastavení blokovat veškerý smíšený obsah a rozbíjet některé stávající webové stránky. Co to znamená?
Co je smíšený obsah?
Zde existují dva typy obsahu: Obsah dodávaný prostřednictvím a zabezpečené šifrované připojení HTTPS a obsah dodávaný prostřednictvím nezašifrovaného připojení HTTP. Když používáte HTTPS, obsah nelze při přenosu snoopovat nebo s ním manipulovat, a proto kritické weby nabízejí šifrování při nakládání s finančními informacemi nebo soukromými daty.
Web přechází na zabezpečené webové stránky HTTPS. Pokud se připojujete ke staršímu webu HTTP bez šifrování, Google Chrome vás nyní varuje, že tyto weby nejsou „zabezpečené“. Google nyní dokonce ve výchozím nastavení skryje indikátor „https: //“ , protože weby by měly být ve výchozím nastavení zabezpečené. A nový standard HTTP / 3 bude mít zabudované šifrování.
Některé webové stránky však nemohou být ani zcela HTTPS, ani úplně HTTP. Některé webové stránky se doručují prostřednictvím zabezpečeného připojení HTTPS, ale načítají obrázky, skripty nebo jiné prostředky prostřednictvím nezašifrovaného připojení HTTP. Tyto webové stránky mají „smíšený obsah“, protože nejsou plně zabezpečené. Samotnou webovou stránku nebylo možné pozměnit, ale může do ní být vložen skript, obrázek nebo iframe (webová stránka uvnitř „rámečku“ na jiné webové stránce), se kterými mohlo být manipulováno.
Proč je smíšený obsah špatný
Smíšený obsah je matoucí. Nějakým způsobem prohlížíte webovou stránku, která je zabezpečená i nezabezpečená. Například obvykle bezpečná a zabezpečená webová stránka by mohla natáhnout soubor JavaScriptu přes HTTP. Tento skript lze upravit - například pokud používáte veřejnou síť Wi-Fi, která není důvěryhodná - a dělat na webové stránce mnoho ošklivých věcí, od sledování stisknutí kláves až po vložení sledovacího souboru cookie.
Zatímco skripty a prvky iframe - „aktivní obsah“ - jsou nejnebezpečnější, i obrázky, videa a audio-smíšený obsah mohou být riskantní. Představte si například, že prohlížíte zabezpečený web o obchodování s akciemi, který pomocí protokolu HTTP získává obrázek historie akcií. Tento obrázek není bezpečný - mohlo dojít k jeho neoprávněné manipulaci, aby se zobrazily nesprávné podrobnosti. Také proto, že to bylo doručeno prostřednictvím nezašifrovaného připojení, kdokoli snooping na přenášených datech pravděpodobně ví, na jaké akcie se díváte.
Je to špatný nápad takto míchat obsah. Pokud webová stránka používá HTTPS, měly by být všechny její zdroje načteny také prostřednictvím HTTPS. Je to jen historická nehoda - web začínal protokolem HTTP a weby se postupně upgradovaly na HTTPS. Jak to udělali, ne vždy se aktualizovali, aby používali zdroje HTTPS všude. Nebo mohli záviset na zdroji třetí strany, který v té době nepodporoval HTTPS.
Nyní, když Google a další prodejci prohlížečů komplikují a odrazují smíšený obsah, budou weby muset věci uklidit, aby jejich webové stránky ve výchozím nastavení pokračovaly.
Co přesně se v prohlížeči Chrome mění?
Chrome aktuálně blokuje smíšené skripty a prvky iframe. V prohlížeči Chrome 80, který bude vydán pro kanály s předčasným vydáním v lednu 2020, bude Chrome blokovat smíšené zvukové a obrazové zdroje - technicky se je pokusí načíst přes zabezpečené připojení HTTPS a zablokovat je, pokud nebudou. Načtou se smíšené obrázky, ale Chrome řekne, že webová stránka je „Nezabezpečená“. V prohlížeči Chrome 81 přestane Chrome načítat také smíšené obrázky. Uživatelé mohou povolit načítání smíšeného obsahu, ale nebude to ve výchozím nastavení.
To vše je součástí zvýšení bezpečnosti webu. Příspěvek na blogu Google uvádí, že očekává, že zpráva „Nezabezpečeno“ „bude motivovat weby k migraci jejich obrázků na HTTPS.“
Jak vám Chrome umožní odblokovat smíšený obsah
Chrome již blokuje některé typy smíšeného obsahu pomocí ikony štítu v adresním řádku a zprávy „Blokovaný nezabezpečený obsah“. Můžete vidět, jak to na tom funguje ukázková stránka se smíšeným obsahem vytvořil Google. Chcete-li například odblokovat skript se smíšeným obsahem, musíte kliknout na odkaz s názvem „Načíst nebezpečné skripty“.
Pokud souhlasíte se spuštěním smíšeného obsahu, webová stránka se změní ze zabezpečené na nezabezpečenou.
Google to zjednoduší v prohlížeči Chrome 79, který vyjde někdy v prosinci 2019. Budete muset kliknout na ikonu zámku nalevo od adresy stránky, kliknout na „Nastavení webu“ a poté odblokovat smíšený obsah pro tento web.
Tato možnost se stává více pohřbenou, ale to je to, o co jde: Většina lidí by nikdy nemusela na webu potřebovat povolit smíšený obsah. Vývojáři webových stránek potřebují opravit své webové stránky, aby mohli bezpečně poskytovat zdroje. Tato možnost zajistí, že kdokoli, kdo používá starší firemní web, k němu bude mít i nadále přístup, i když bude smíšený obsah pro všechny zakázán.
Pokud potřebujete web, který to vyžaduje, nemějte obavy: Google neoznámil datum, kdy odebírá možnost načítat smíšený obsah v prohlížeči Chrome. Webový prohlížeč Google bude ve výchozím nastavení blokovat veškerý smíšený obsah, ale v dohledné budoucnosti bude i nadále nabízet možnost povolení smíšeného obsahu.
A co ostatní prohlížeče?
Chrome není sám. Firefox blokuje také smíšený obsah, jako jsou skripty a prvky iframe, a vyžaduje, abyste klikli na „ Prozatím deaktivujte ochranu ”Nastavení pro povolení. Očekáváme, že Mozilla půjde ve stopách Google. Safari společnosti Apple je agresivní blokování smíšeného obsahu , také.
Nový prohlížeč Edge společnosti Microsoft bude samozřejmě založen na kódu Chromium, který tvoří základ pro Google Chrome a bude se chovat jako Chrome.
PŘÍBUZNÝ: Proč Google Chrome říká, že webové stránky nejsou „zabezpečené“?
