Google Chrome уже блокирует некоторые типы «смешанного контента» в Интернете. Теперь Google объявил ситуация становится еще более серьезной: с начала 2020 года Chrome по умолчанию будет блокировать весь смешанный контент, нарушая работу некоторых существующих веб-страниц. Вот что это значит.
Что такое смешанный контент?
Здесь есть два типа контента: Контент, доставляемый через безопасное, зашифрованное HTTPS-соединение , и контент, доставленный через незашифрованное HTTP-соединение. Когда вы используете HTTPS, контент не может быть отслежен или подделан при передаче, поэтому критически важные веб-сайты предлагают шифрование при работе с финансовой информацией или личными данными.
Интернет переходит на защищенные HTTPS-сайты. Если вы подключаетесь к старому веб-сайту HTTP без шифрования, Теперь Google Chrome предупреждает, что эти веб-сайты «небезопасны». Google теперь даже по умолчанию скрывает индикатор «https: //» , поскольку сайты по умолчанию должны быть безопасными. А также новый стандарт HTTP / 3 будет иметь встроенное шифрование.
Но некоторые веб-страницы не могут быть ни полностью HTTPS, ни полностью HTTP. Некоторые веб-страницы доставляются через безопасное соединение HTTPS, но они извлекают изображения, скрипты или другие ресурсы через незашифрованное соединение HTTP. Такие веб-страницы имеют «смешанное содержание», потому что они не полностью защищены. Саму веб-страницу нельзя подделать, но она может втянуть скрипт, изображение или iframe (веб-страницу внутри «фрейма» на другой веб-странице), которые могли быть подделаны.
Почему смешанный контент - это плохо
Смешанное содержание сбивает с толку. Вы каким-то образом просматриваете безопасную и небезопасную веб-страницу. Например, обычно безопасная и защищенная веб-страница может загружать файл JavaScript через HTTP. Этот сценарий можно изменить - например, если вы используете общедоступную сеть Wi-Fi, не заслуживающую доверия, - чтобы он делал на веб-странице много неприятных вещей, от отслеживания нажатий клавиш до вставки файла cookie для отслеживания.
Хотя скрипты и фреймы - «активный контент» - наиболее опасны, даже изображения, видео и аудиосодержание могут быть опасными. Например, представьте, что вы просматриваете безопасный веб-сайт по торговле акциями, который загружает изображение истории акций через HTTP. Это изображение небезопасно - оно могло быть изменено в пути, чтобы показать неверные данные. Кроме того, поскольку он был доставлен по незашифрованному соединению, любой отслеживание данных в пути наверняка знает, на какие акции вы смотрите.
Смешивать такой контент - плохая идея. Если веб-страница использует HTTPS, все ее ресурсы также должны быть подключены через HTTPS. Это просто историческая случайность: Интернет начинался с HTTP, а веб-сайты постепенно переходили на HTTPS. Но они не всегда обновлялись, чтобы везде использовать ресурсы HTTPS. Или они могли зависеть от стороннего ресурса, который в то время не поддерживал HTTPS.
Теперь, когда Google и другие производители браузеров делают смешанный контент более сложным и обескураживающим, веб-сайтам придется навести порядок, чтобы их веб-страницы продолжали работать по умолчанию.
Что именно меняется в Chrome?
В настоящее время Chrome блокирует смешанные скрипты и окна iframe. В Chrome 80, который будет выпущен для каналов раннего выпуска в январе 2020 года, Chrome будет блокировать смешанные аудио- и видеоресурсы - технически он будет пытаться загрузить их через безопасное соединение HTTPS и заблокировать их, если они этого не сделают. Смешанные изображения будут загружены, но Chrome скажет, что веб-страница «Небезопасна». В Chrome 81 Chrome также перестанет загружать смешанные изображения. Пользователи могут разрешить загрузку смешанного содержания, но по умолчанию этого не происходит.
Все это помогает сделать Интернет более безопасным. В сообщении блога Google говорится, что он ожидает, что сообщение «Небезопасно» «побудит веб-сайты перенести свои изображения на HTTPS».
Как Chrome позволяет разблокировать смешанный контент
Chrome уже блокирует некоторые типы смешанного содержимого с помощью значка щита в адресной строке и сообщения «Небезопасное содержимое заблокировано». Вы можете увидеть, как это работает на этом пример страницы со смешанным содержанием создано Google. Например, чтобы разблокировать сценарий смешанного содержимого, необходимо щелкнуть ссылку «Загрузить небезопасные сценарии».
Если вы согласны запускать смешанный контент, веб-страница изменится с Безопасной на Небезопасную.
Google упростит это в Chrome 79, который выйдет где-то в декабре 2019 года. Вам нужно будет щелкнуть значок замка слева от адреса страницы, нажать «Настройки сайта», а затем разблокировать смешанный контент для этого сайта.
Вариант становится более скрытым, но в этом суть: большинству людей никогда не нужно включать смешанный контент для сайта. Разработчикам веб-сайтов необходимо исправить свои веб-сайты, чтобы безопасно предоставлять ресурсы. Этот вариант гарантирует, что любой, кто использует старый бизнес-сайт, сможет продолжить доступ к нему, даже если смешанный контент отключен для всех.
Если вам нужен сайт, на котором это требуется, не беспокойтесь: Google не объявил дату, когда он удалит возможность загрузки смешанного контента в Chrome. Веб-браузер Google по умолчанию блокирует весь смешанный контент, но в обозримом будущем по-прежнему будет предлагать возможность включения смешанного контента.
А как насчет других браузеров?
Chrome не одинок. Firefox также блокирует смешанный контент, такой как скрипты и фреймы, и требует, чтобы вы щелкнули значок « Отключить защиту сейчас », Чтобы включить его. Мы ожидаем, что Mozilla пойдет по стопам Google. Safari от Apple агрессивно настроен блокирование смешанного контента , тоже.
И, конечно же, новый браузер Microsoft Edge будет основан на коде Chromium, который составляет основу Google Chrome и будет вести себя как Chrome.
СВЯЗАННЫЕ С: Почему Google Chrome сообщает, что веб-сайты «небезопасны»?
