Google Chrome estää jo tietyntyyppisen "sekasisällön" verkossa. Nyt Google ilmoitti se on entistä vakavampaa: Vuoden 2020 alusta lähtien Chrome estää oletuksena kaiken sekasisällön rikkomalla joitain olemassa olevia verkkosivuja. Tässä se tarkoittaa.
Mikä on sekoitettu sisältö?
Tässä on kahden tyyppistä sisältöä: a suojattu, salattu HTTPS-yhteys ja sisältö toimitetaan salaamattoman HTTP-yhteyden kautta. Kun käytät HTTPS-protokollaa, sisältöä ei voi nostaa tai peukaloida kuljetuksen aikana, minkä vuoksi kriittiset verkkosivustot tarjoavat salauksen käsitellessään taloudellisia tietoja tai yksityisiä tietoja.
Verkko siirtyy suojatuille HTTPS-verkkosivustoille. Jos muodostat yhteyden vanhempaan HTTP-verkkosivustoon ilman salausta, Google Chrome varoittaa nyt, että nämä verkkosivustot eivät ole "suojattuja". Google nyt jopa piilottaa oletusarvoisesti https: // -ilmaisimen , koska sivustojen pitäisi olla oletusarvoisesti vain suojattuja. Ja uusi HTTP / 3-standardi on sisäänrakennettu salaus.
Jotkin verkkosivut eivät kuitenkaan voi olla täysin HTTPS- tai täysin HTTP-tiedostoja. Jotkut verkkosivut toimitetaan suojatun HTTPS-yhteyden kautta, mutta ne hakevat kuvia, komentosarjoja tai muita resursseja salaamattoman HTTP-yhteyden kautta. Tällaisilla verkkosivuilla on "sekoitettua sisältöä", koska ne eivät ole täysin suojattuja. Itse verkkosivua ei voitu muuttaa, mutta se voi vetää komentosarjan, kuvan tai iframe-kehyksen (verkkosivusto toisen verkkosivun "kehyksen" sisällä), jota olisi voitu muuttaa.
Miksi sekoitettu sisältö on huono
Sekoitettu sisältö on hämmentävää. Katselet jotenkin verkkosivua, joka on sekä suojattu että ei suojattu. Esimerkiksi tavallisesti turvallinen ja suojattu verkkosivu voi vetää JavaScript-tiedoston HTTP: n kautta. Tätä komentosarjaa voidaan muokata - esimerkiksi jos olet julkisessa Wi-Fi-verkossa, joka ei ole luotettava - tekemään monia ikäviä asioita verkkosivulla aina näppäinpainallusten seurannasta seurantaevästeiden lisäämiseen.
Vaikka skriptit ja iframe-kehykset - "aktiivinen sisältö" - ovat vaarallisimpia, jopa kuvat, videot ja sekoitettu ääni voivat olla vaarallisia. Kuvittele esimerkiksi, että katselet suojattua osakekauppasivustoa, joka näyttää kuvan osakkeen historiasta HTTP: n kautta. Tämä kuva ei ole turvallinen - se olisi voitu peukaloida kuljetuksen aikana virheellisten tietojen näyttämiseksi. Kuka tahansa, koska se toimitettiin salaamattoman yhteyden kautta törmäämällä siirrettäviin tietoihin todennäköisesti tietää mitä osaketta katsot.
Tällaisen sisällön sekoittaminen on huono idea. Jos verkkosivusto käyttää HTTPS-protokollaa, kaikki sen resurssit tulisi myös vetää sisään HTTPS-yhteyden kautta. Se on vain historiallinen onnettomuus - verkko alkoi HTTP: llä, ja verkkosivustot päivitettiin vähitellen HTTPS: ksi. Kuten he tekivät, he eivät aina päivittäneet käyttämään HTTPS-resursseja kaikkialla. Tai he saattavat olla riippuvaisia kolmannen osapuolen resursseista, jotka eivät tue HTTPS: ää tuolloin.
Nyt kun Google ja muut selaintoimittajat vaikeuttavat sekoitetun sisällön tekemistä ja lannistavat, verkkosivustojen on puhdistettava asiat, jotta niiden verkkosivut jatkavat oletusarvoisesti toimintaa.
Mitä Chromessa muuttuu?
Chrome estää tällä hetkellä sekoitetut komentosarjat ja iframe-kehykset. Chrome 80: ssä, joka julkaistaan ennakkoon julkaistaville kanaville tammikuussa 2020, Chrome estää sekoitetut ääni- ja videoresurssit - teknisesti se yrittää ladata ne suojatun HTTPS-yhteyden kautta ja estää, jos ei. Sekakuvat latautuvat, mutta Chrome sanoo, että verkkosivu on "Ei suojattu". Chrome 81: ssä Chrome lopettaa myös sekakuvien lataamisen. Käyttäjät voivat sallia sekoitetun sisällön lataamisen, mutta se ei oletuksena ole.
Se on kaikki osa verkon turvallisuuden parantamista. Googlen blogiviestissä sanotaan, että "Ei suojattu" -viesti "motivoi verkkosivustoja siirtämään kuvansa HTTPS: ään".
Kuinka Chrome antaa sinun poistaa sekoitetun sisällön eston
Chrome estää jo tietyntyyppistä sekoitettua sisältöä osoitekentässä olevalla kilpi-kuvakkeella ja "Turvallinen sisältö estetty" -viestillä. Voit nähdä, miten se toimii tässä sekoitetun sisällön esimerkkisivu luonut Google. Esimerkiksi, jos haluat poistaa sekoitetun sisällön komentosarjan eston, sinun on napsautettava linkkiä nimeltä Lataa vaaralliset komentosarjat.
Jos suostut käyttämään sekoitettua sisältöä, verkkosivu muuttuu suojatusta ei suojatuksi.
Google yksinkertaistaa tätä Chrome 79: ssä, joka julkaistaan joskus joulukuussa 2019. Sinun on napsautettava sivun osoitteen vasemmalla puolella olevaa lukituskuvaketta, napsauttava Sivustoasetukset ja poistettava sitten kyseisen sivuston sekoitetun sisällön esto.
Vaihtoehto hautautuu, mutta siinä on kyse: Useimpien ihmisten ei pitäisi koskaan tarvita sallia sekoitettua sisältöä sivustolle. Verkkosivustojen kehittäjien on korjattava verkkosivustonsa toimittaa resursseja turvallisesti. Tämä vaihtoehto varmistaa, että kuka tahansa vanhemman yrityssivuston käyttäjä voi jatkaa sen käyttöä, vaikka sekasisältö on poistettu käytöstä kaikille.
Jos tarvitset tätä vaativan sivuston, älä huoli: Google ei ole ilmoittanut päivämäärää, jolloin se poistaa vaihtoehdon ladata sekoitettua sisältöä Chromeen. Googlen verkkoselain estää oletuksena kaiken sekoitetun sisällön, mutta tarjoaa edelleen vaihtoehdon sekoitetun sisällön ottamiseksi käyttöön lähitulevaisuudessa.
Entä muut selaimet?
Chrome ei ole yksin. Firefox estää myös sekoitetun sisällön, kuten komentosarjat ja iframe-kehykset, ja vaatii napsauttamaan Poista suojaus toistaiseksi käytöstä ”-Asetus. Odotamme Mozillan seuraavan Googlen jalanjälkiä. Applen Safari on aggressiivinen estää sekoitetun sisällön myös.
Ja tietysti Microsoftin uusi Edge-selain perustuu Chromium-koodiin, joka muodostaa perustan Google Chromelle ja käyttäytyy kuten Chrome.
LIITTYVÄT: Miksi Google Chrome sanoo, että verkkosivustot eivät ole suojattuja?
