Google Chrome blokerer allerede nogle typer af "blandet indhold" på internettet. Nu, Google annonceret det bliver endnu mere seriøst: Fra begyndelsen af 2020 blokerer Chrome alt blandet indhold som standard og bryder nogle eksisterende websider. Her er hvad det betyder.
Hvad er blandet indhold?
Der er to typer indhold her: Indhold leveret over en sikker, krypteret HTTPS-forbindelse og indhold leveret via en ukrypteret HTTP-forbindelse. Når du bruger HTTPS, kan der ikke snuges på eller manipuleres med indhold under transport, og det er derfor, det er vigtigt, at websteder tilbyder kryptering, når de beskæftiger sig med økonomiske oplysninger eller private data.
Internettet bevæger sig til sikre HTTPS-websteder. Hvis du opretter forbindelse til et ældre HTTP-websted uden kryptering, Google Chrome advarer dig nu om, at disse websteder er "ikke sikre." Google nu endda skjuler “https: //” indikatoren som standard , da websteder bare skal være sikre som standard. Og den nye HTTP / 3-standard har indbygget kryptering.
Men nogle websider kan hverken være helt HTTPS eller helt HTTP. Nogle websider leveres via en sikker HTTPS-forbindelse, men de trækker billeder, scripts eller andre ressourcer ind via en ukrypteret HTTP-forbindelse. Sådanne websider har "blandet indhold", fordi de ikke er helt sikre. Selve websiden kunne ikke manipuleres med, men den trækker muligvis et script, billede eller iframe (en webside inde i en "ramme" på en anden webside), der kunne have været manipuleret med.
Hvorfor blandet indhold er dårligt
Blandet indhold er forvirrende. Du ser på en eller anden måde en webside, der er både sikker og ikke sikker. For eksempel kan en normalt sikker og sikker webside hente en JavaScript-fil via HTTP. Dette script kunne ændres - for eksempel, hvis du er på et offentligt Wi-Fi-netværk, der ikke er troværdigt - for at gøre mange grimme ting på websiden, fra overvågning af dine tastetryk til indsættelse af en tracking-cookie.
Mens scripts og iframes - "aktivt indhold" - er det farligste, kan selv billeder, videoer og lydblandet indhold være risikabelt. Forestil dig for eksempel, at du ser et sikkert aktiehandelswebsted, der trækker et billede af en akties historie via HTTP. Billedet er ikke sikkert - det kunne have været manipuleret under transport for at vise forkerte detaljer. Også, fordi det blev leveret over en ukrypteret forbindelse, nogen snooping på dataene under transit ved sandsynligvis, hvilken aktie du ser på.
Det er en dårlig idé at blande indhold som dette. Hvis en webside bruger HTTPS, skal alle dens ressourcer også trækkes ind via HTTPS. Det er bare en historisk ulykke - Internettet startede med HTTP, og websteder blev gradvist opgraderet til HTTPS. Som de gjorde, opdaterede de ikke altid for at bruge HTTPS-ressourcer overalt. Eller de kan have været afhængige af en tredjepartsressource, der ikke understøttede HTTPS på det tidspunkt.
Nu, hvor Google og andre browserudbydere gør blandet indhold vanskeligere og nedslående, bliver websteder nødt til at rydde op, så deres websider fortsætter med at arbejde som standard.
Hvad ændres der præcist i Chrome?
Chrome blokerer i øjeblikket blandede scripts og iframes. I Chrome 80, der frigives til tidlige frigivelseskanaler i januar 2020, blokerer Chrome blandede lyd- og videoressourcer - teknisk set vil den forsøge at indlæse dem over en sikker HTTPS-forbindelse i stedet og blokere dem, hvis de ikke gør det. Blandede billeder indlæses, men Chrome siger, at websiden er "Ikke sikker." I Chrome 81 stopper Chrome også indlæsning af blandede billeder. Brugere kan lade det blandede indhold indlæse, men det er ikke som standard.
Det hele er en del af at gøre internettet mere sikkert. Googles blogindlæg siger, at det forventer, at meddelelsen "Ikke sikker" "vil motivere websteder til at migrere deres billeder til HTTPS."
Hvordan Chrome giver dig mulighed for at fjerne blokering af blandet indhold
Chrome blokerer allerede nogle typer blandet indhold med et skjoldikon i adresselinjen og en meddelelse om "Usikkert indhold blokeret". Du kan se, hvordan det fungerer på dette eksempel side med blandet indhold oprettet af Google. For eksempel for at fjerne blokeringen af et script med blandet indhold skal du klikke på et link med navnet "Indlæs usikre scripts."
Hvis du accepterer at køre det blandede indhold, ændres websiden fra Sikker til Ikke Sikker.
Google forenkler dette i Chrome 79, som frigives engang i december 2019. Du bliver nødt til at klikke på låsikonet til venstre for sidens adresse, klikke på "Webstedsindstillinger" og derefter fjerne blokeringen af blandet indhold for det pågældende websted.
Indstillingen bliver mere begravet, men det er pointen: De fleste mennesker skal aldrig have brug for at aktivere blandet indhold til et websted. Webstedsudviklere skal rette deres websteder for at levere ressourcer sikkert. Denne mulighed vil sikre, at alle, der bruger et ældre virksomhedswebsted, kan fortsætte med at få adgang til det, selvom blandet indhold er deaktiveret for alle.
Hvis du har brug for et websted, der kræver dette, skal du ikke bekymre dig: Google har ikke annonceret en dato, hvor det fjerner muligheden for at indlæse blandet indhold i Chrome. Googles webbrowser blokerer alt blandet indhold som standard, men vil fortsat tilbyde en mulighed for at aktivere blandet indhold i en overskuelig fremtid.
Hvad med andre browsere?
Chrome er ikke alene. Firefox blokerer også blandet indhold som scripts og iframes og kræver, at du klikker på en “ Deaktiver beskyttelse for nu ”Indstilling for at aktivere det. Vi forventer, at Mozilla følger i Googles fodspor. Apples Safari er aggressiv omkring blokering af blandet indhold , også.
Og selvfølgelig vil Microsofts nye Edge-browser være baseret på den Chromium-kode, der danner grundlaget for Google Chrome og opfører sig som Chrome.
RELATEREDE: Hvorfor siger Google Chrome, at websteder er "ikke sikre"?
