Google Chrome blokuje już niektóre rodzaje „mieszanej treści” w internecie. Teraz Google ogłosił sprawa staje się jeszcze poważniejsza: od początku 2020 roku Chrome będzie domyślnie blokować całą zawartość mieszaną, niszcząc niektóre istniejące strony internetowe. Oto, co to oznacza.
Co to jest zawartość mieszana?
Istnieją dwa rodzaje treści: Treść dostarczana za pośrednictwem bezpieczne, szyfrowane połączenie HTTPS i treści dostarczane przez niezaszyfrowane połączenie HTTP. W przypadku korzystania z protokołu HTTPS nie można podsłuchiwać ani modyfikować treści podczas przesyłania, dlatego krytyczne witryny internetowe oferują szyfrowanie, gdy mają do czynienia z informacjami finansowymi lub prywatnymi danymi.
Internet przenosi się do bezpiecznych witryn HTTPS. Jeśli łączysz się ze starszą witryną HTTP bez szyfrowania, Google Chrome ostrzega teraz, że te witryny „nie są bezpieczne”. Google teraz nawet domyślnie ukrywa wskaźnik „https: //” , ponieważ witryny powinny być domyślnie bezpieczne. I nowy standard HTTP / 3 będzie mieć wbudowane szyfrowanie.
Jednak niektóre strony internetowe nie mogą obsługiwać całkowicie protokołu HTTPS ani protokołu HTTP. Niektóre strony internetowe są dostarczane przez bezpieczne połączenie HTTPS, ale pobierają obrazy, skrypty lub inne zasoby przez niezaszyfrowane połączenie HTTP. Takie strony internetowe mają „mieszaną zawartość”, ponieważ nie są w pełni bezpieczne. Samej strony internetowej nie można było zmienić, ale może ona pobrać skrypt, obraz lub ramkę iframe (stronę internetową w „ramce” na innej stronie internetowej), która mogła zostać zmodyfikowana.
Dlaczego treści mieszane są złe
Zawartość mieszana jest myląca. W jakiś sposób przeglądasz stronę internetową, która jest zarówno bezpieczna, jak i niezabezpieczona. Na przykład zwykle bezpieczna strona internetowa może pobierać plik JavaScript przez HTTP. Ten skrypt może zostać zmodyfikowany - na przykład jeśli jesteś w publicznej sieci Wi-Fi, która nie jest godna zaufania - aby robić wiele nieprzyjemnych rzeczy na stronie internetowej, od monitorowania naciśnięć klawiszy po wstawianie śledzącego pliku cookie.
Chociaż skrypty i elementy iframe - „zawartość aktywna” - są najbardziej niebezpieczne, nawet obrazy, filmy i treści ze zmiksowanym dźwiękiem mogą być ryzykowne. Na przykład wyobraź sobie, że przeglądasz bezpieczną witrynę obrotu akcjami, która pobiera obraz historii akcji za pośrednictwem protokołu HTTP. Ten obraz nie jest bezpieczny - mógł zostać zmodyfikowany podczas przesyłania, aby pokazać nieprawidłowe szczegóły. Ponadto, ponieważ został dostarczony przez niezaszyfrowane połączenie, każdy szpiegowanie przesyłanych danych prawdopodobnie wie, na jakie akcje patrzysz.
Mieszanie takich treści to zły pomysł. Jeśli strona internetowa korzysta z protokołu HTTPS, wszystkie jej zasoby również powinny być pobierane za pośrednictwem protokołu HTTPS. To tylko historyczny przypadek - internet zaczął się od protokołu HTTP, a witryny stopniowo uaktualniano do HTTPS. Jak to zrobili, nie zawsze aktualizowali się, by wszędzie korzystać z zasobów HTTPS. Lub mogli polegać na zasobie innej firmy, który w tamtym czasie nie obsługiwał protokołu HTTPS.
Teraz, gdy Google i inni dostawcy przeglądarek utrudniają i zniechęcają mieszaną zawartość, strony internetowe będą musiały to uporządkować, aby ich strony nadal domyślnie działały.
Co dokładnie zmienia się w Chrome?
Chrome obecnie blokuje mieszane skrypty i elementy iframe. W Chrome 80, który zostanie udostępniony kanałom wczesnej wersji w styczniu 2020 roku, Chrome będzie blokować mieszane zasoby audio i wideo - technicznie rzecz biorąc, spróbuje załadować je przez bezpieczne połączenie HTTPS i zablokować je, jeśli tego nie zrobią. Obrazy mieszane zostaną załadowane, ale Chrome wyświetli komunikat „Niezabezpieczona”. W Chrome 81 Chrome również przestanie ładować mieszane obrazy. Użytkownicy mogą zezwolić na ładowanie mieszanej zawartości, ale domyślnie nie będzie to możliwe.
To wszystko jest częścią zwiększania bezpieczeństwa internetu. Post na blogu Google mówi, że oczekuje się, że wiadomość „Niezabezpieczona” „zmotywuje witryny do migracji obrazów do HTTPS”.
Jak Chrome pozwoli Ci odblokować zawartość mieszaną
Chrome już blokuje niektóre rodzaje mieszanej treści, wyświetlając ikonę tarczy na pasku adresu i komunikat „Zablokowano niezabezpieczoną zawartość”. Możesz zobaczyć, jak to działa przykładowa strona o mieszanej zawartości utworzone przez Google. Na przykład, aby odblokować skrypt zawartości mieszanej, musisz kliknąć łącze o nazwie „Załaduj niebezpieczne skrypty”.
Jeśli zgadzasz się na uruchamianie zawartości mieszanej, strona internetowa zmienia się z Bezpiecznej na Niezabezpieczoną.
Google uprości to w Chrome 79, który zostanie wydany w grudniu 2019 r. Będziesz musiał kliknąć ikonę kłódki po lewej stronie adresu strony, kliknąć „Ustawienia witryny”, a następnie odblokować mieszaną zawartość tej witryny.
Opcja staje się bardziej zagłębiona, ale o to chodzi: większość ludzi nie powinna nigdy potrzebować włączać mieszanej zawartości w witrynie. Twórcy witryn internetowych muszą naprawić swoje witryny, aby bezpiecznie dostarczać zasoby. Ta opcja zapewni każdemu, kto korzysta ze starszej witryny firmowej, dostęp do niej, nawet jeśli zawartość mieszana jest wyłączona dla wszystkich.
Jeśli potrzebujesz witryny, która tego wymaga, nie martw się: Google nie ogłosił daty wycofania opcji ładowania mieszanych treści w Chrome. Przeglądarka internetowa Google będzie domyślnie blokować wszystkie mieszane treści, ale nadal będzie oferować opcję włączania mieszanych treści w dającej się przewidzieć przyszłości.
A co z innymi przeglądarkami?
Chrome nie jest sam. Firefox blokuje również mieszane treści, takie jak skrypty i elementy iframe, i wymaga kliknięcia przycisku „ Wyłącz na razie ochronę ”, Aby ją włączyć. Oczekujemy, że Mozilla pójdzie w ślady Google. Safari firmy Apple jest agresywne blokowanie treści mieszanych , też.
Oczywiście nowa przeglądarka Edge firmy Microsoft będzie oparta na kodzie Chromium, który stanowi podstawę przeglądarki Google Chrome i będzie zachowywać się jak Chrome.
ZWIĄZANE Z: Dlaczego Google Chrome mówi, że witryny internetowe nie są „bezpieczne”?
