A Google Chrome már blokkol bizonyos típusú „vegyes tartalmakat” az interneten. Most, a Google bejelentett még súlyosabbá válik: 2020 elejétől a Chrome alapértelmezés szerint blokkolja az összes vegyes tartalmat, feltörve néhány meglévő weboldalt. Ez mit jelent.
Mi az a vegyes tartalom?
Kétféle tartalom van itt: A biztonságos, titkosított HTTPS kapcsolat , és a tartalom titkosítatlan HTTP-kapcsolaton keresztül érkezik. A HTTPS használatakor a tartalmat nem lehet átkutatni vagy megváltoztatni szállítás közben, ezért a kritikus webhelyek titkosítást kínálnak pénzügyi információk vagy magánadatok kezelésekor.
Az internet biztonságos HTTPS-webhelyek felé mozog. Ha titkosítás nélkül csatlakozik egy régebbi HTTP-webhelyhez, A Google Chrome most arra figyelmeztet, hogy ezek a webhelyek „nem biztonságosak”. A Google most még alapértelmezés szerint elrejti a „https: //” jelzőt , mivel a webhelyeknek alapértelmezés szerint csak biztonságosnak kell lenniük. És az új HTTP / 3 szabvány beépített titkosítással rendelkezik.
De néhány weboldal nem lehet sem teljesen HTTPS, sem pedig teljesen HTTP. Egyes weboldalak biztonságos HTTPS-kapcsolaton keresztül érkeznek, de titkosítatlan HTTP-kapcsolaton keresztül képeket, szkripteket vagy más erőforrásokat húznak be. Az ilyen weboldalak „vegyes tartalommal” rendelkeznek, mert nem teljesen biztonságosak. Magát a weboldalt nem lehetett meghamisítani, de behúzhat egy szkriptet, képet vagy iframe-et (egy másik weboldal „keretén belüli weboldalt”), amelyet manipulálni lehetett.
Miért rossz a vegyes tartalom?
A vegyes tartalom zavaró. Valahogy olyan weboldalt néz meg, amely egyszerre biztonságos és nem biztonságos. Például egy általában biztonságos weboldal HTTP-n keresztül be tudja tölteni a JavaScript-fájlt. Ez a szkript módosítható - például ha nyilvános, nem megbízható Wi-Fi hálózaton van -, sok csúnya dolgot végezhet el a weboldalon, a billentyűleütések ellenőrzésétől a nyomkövetési cookie beszúrásáig.
Míg a szkriptek és az iframe-ek - az „aktív tartalom” - a legveszélyesebbek, még a képek, videók és a hanggal kevert tartalmak is kockázatosak lehetnek. Képzelje el például, hogy egy biztonságos tőzsdei kereskedési webhelyet néz meg, amely HTTP-n keresztül képet kap a részvények történetéről. Ez a kép nem biztonságos - a helytelen részletek megjelenése érdekében azt manipulálhatták volna szállítás közben. Továbbá, mert titkosítatlan kapcsolaton keresztül érkezett, bárki az átvitt adatok szimatolása valószínűleg tudja, hogy milyen részvényt néz.
Rossz ötlet az ilyen tartalmak keverése. Ha egy weboldal HTTPS-t használ, akkor az összes erőforrást be kell húzni a HTTPS-en keresztül is. Ez csak egy történelmi baleset - a web HTTP-vel kezdődött, és a webhelyek fokozatosan frissültek HTTPS-re. Ahogy tették, nem mindig frissítettek mindenhol HTTPS erőforrásokat használni. Vagy egy harmadik fél erőforrásától függhettek, amely akkor még nem támogatta a HTTPS-t.
Most, hogy a Google és más böngésző-gyártók megnehezítik és elbátortalanítják a vegyes tartalmat, a webhelyeknek meg kell takarítaniuk a dolgokat, így a weblapjaik alapértelmezés szerint tovább működnek.
Mi változik pontosan a Chrome-ban?
A Chrome jelenleg blokkolja a vegyes szkripteket és az iframe-eket. A Chrome 80-ban, amely 2020 januárjában jelenik meg a korai kiadású csatornákon, a Chrome blokkolja a vegyes audio- és videoforrásokat - technikailag inkább egy biztonságos HTTPS-kapcsolaton keresztül próbálja betölteni őket, és ha nem, akkor blokkolni fogja őket. A vegyes képek betöltődnek, de a Chrome azt mondja, hogy a weboldal nem biztonságos. A Chrome 81-ben a Chrome leállítja a vegyes képek betöltését is. A felhasználók engedélyezhetik a vegyes tartalom betöltését, de alapértelmezés szerint nem.
Mindez az internet biztonságosabbá tételének része. A Google blogbejegyzése szerint azt várja, hogy a „Nem biztonságos” üzenet „arra ösztönzi a webhelyeket, hogy képeiket HTTPS-re migrálják”.
Hogyan engedi a Chrome a vegyes tartalom feloldását
A Chrome már blokkol bizonyos típusú vegyes tartalmakat egy pajzs ikonnal a címsorban és egy „Biztonságos tartalom blokkolva” üzenettel. Láthatja, hogyan működik ez vegyes tartalmú példaoldal a Google készítette. Például egy vegyes tartalmú szkript blokkolásának feloldásához kattintson a „Nem biztonságos parancsfájlok betöltése” linkre.
Ha beleegyezik a vegyes tartalom futtatásába, a weboldal Biztonságosról Nem biztonságosra vált.
A Google ezt egyszerűsíti a Chrome 79-ben, amely valamikor 2019 decemberében jelenik meg. Kattintson az oldal címétől balra található zár ikonra, kattintson a „Webhelybeállítások” elemre, majd feloldja az adott webhely vegyes tartalmának letiltását.
A lehetőség egyre inkább eltemetett, de ez a lényeg: A legtöbb embernek soha nem kell engedélyeznie a vegyes tartalmat egy webhelyen. A webhelyek fejlesztőinek javítaniuk kell webhelyeiket az erőforrások biztonságos szállításához. Ez a lehetőség biztosítja, hogy bárki, aki régebbi üzleti webhelyet használ, továbbra is hozzáférhessen ahhoz, még akkor is, ha a vegyes tartalom mindenki számára le van tiltva.
Ha szüksége van egy olyan webhelyre, amely ezt igényli, ne aggódjon: a Google nem jelentett be dátumot, amikor eltávolítja a vegyes tartalom betöltésének lehetőségét a Chrome-ba. A Google webböngészője alapértelmezés szerint blokkolja az összes vegyes tartalmat, de továbbra is lehetőséget kínál a vegyes tartalom belátható időn belüli engedélyezésére.
Mi a helyzet a többi böngészővel?
A Chrome nincs egyedül. A Firefox blokkolja a vegyes tartalmakat, például a szkripteket és az iframe-eket, és meg kell kattintania egy Tiltsa le a védelmet egyelőre ”Beállítás engedélyezéséhez. Arra számítunk, hogy a Mozilla a Google nyomdokaiba lép. Az Apple Safari agresszív vegyes tartalom blokkolása , is.
És természetesen a Microsoft új Edge böngészője a Chromium kódon fog alapulni, amely a Google Chrome alapját képezi, és úgy fog viselkedni, mint a Chrome.
ÖSSZEFÜGGŐ: Miért mondja a Google Chrome, hogy a webhelyek "nem biztonságosak"?
