Google Chrome уже блокує деякі типи “змішаного вмісту” в Інтернеті. Тепер Google оголошено стає ще більш серйозним: починаючи з початку 2020 року, Chrome за замовчуванням заблокує весь змішаний вміст, порушуючи деякі існуючі веб-сторінки. Ось, що це означає.
Що таке змішаний вміст?
Тут є два типи вмісту: Вміст, переданий через безпечне, зашифроване з'єднання HTTPS , а вміст доставляється через незашифроване з'єднання HTTP. Коли ви використовуєте HTTPS, вміст не можна підглядати або підробляти під час передачі, тому критично важливі веб-сайти пропонують шифрування при роботі з фінансовою інформацією або приватними даними.
Інтернет переходить до захищених веб-сайтів HTTPS. Якщо ви підключаєтеся до старішого веб-сайту HTTP без шифрування, Google Chrome попереджає вас, що ці веб-сайти "не захищені". Google тепер навіть за замовчуванням приховує індикатор “https: //” , оскільки сайти мають бути просто захищеними за замовчуванням. І новий стандарт HTTP / 3 матиме вбудоване шифрування.
Але деякі веб-сторінки не можуть бути ні повністю HTTPS, ні повністю HTTP. Деякі веб-сторінки доставляються через захищене з'єднання HTTPS, але вони втягують зображення, сценарії та інші ресурси через незашифроване з'єднання HTTP. Такі веб-сторінки мають «змішаний вміст», оскільки вони не є повністю захищеними. Саму веб-сторінку неможливо підробити, але вона може втягнути скрипт, зображення або iframe (веб-сторінку всередині “кадру” на іншій веб-сторінці), на яку можна було б підробити.
Чому змішаний вміст поганий
Змішаний вміст бентежить. Ви якось переглядаєте веб-сторінку, яка одночасно захищена і не захищена. Наприклад, зазвичай безпечна та захищена веб-сторінка може втягувати файл JavaScript через HTTP. Цей сценарій можна змінити - наприклад, якщо ви перебуваєте у загальнодоступній мережі Wi-Fi, яка не заслуговує на довіру, - робити багато неприємних речей на веб-сторінці, починаючи від моніторингу натискань клавіш і вставляючи файл cookie відстеження.
Хоча сценарії та вставки - «активний вміст» - найнебезпечніші, навіть зображення, відео та змішаний аудіо вміст можуть бути ризикованими. Наприклад, уявіть, що ви переглядаєте безпечний веб-сайт торгівлі акціями, який відображає зображення історії акцій через HTTP. Це зображення не захищене - його могли підробляти під час передачі, щоб показати неправильні деталі. Крім того, оскільки його доставляли через незашифроване з’єднання, будь-хто перегляд даних під час передачі ймовірно, знає, на яку акцію ви дивитесь.
Погано поєднувати такий вміст. Якщо веб-сторінка використовує HTTPS, усі її ресурси також слід використовувати через HTTPS. Це просто історична аварія - Інтернет починався з HTTP, а веб-сайти поступово переходили на HTTPS. Як і раніше, вони не завжди оновлювались, щоб використовувати ресурси HTTPS скрізь. Або, можливо, вони залежали від стороннього ресурсу, який на той час не підтримував HTTPS.
Тепер, коли Google та інші постачальники браузерів ускладнюють та знеохочують змішаний вміст, веб-сайтам доведеться чистити речі, щоб їх веб-сторінки продовжували працювати за замовчуванням.
Що саме змінюється в Chrome?
На даний момент Chrome блокує змішані сценарії та вставки. У Chrome 80, який буде випущений на канали дострокового випуску в січні 2020 року, Chrome заблокує змішані аудіо- та відеоресурси - технічно він намагатиметься завантажувати їх через захищене з'єднання HTTPS і блокувати, якщо цього не робити. Змішані зображення завантажуватимуться, але Chrome скаже, що веб-сторінка "Не захищена". У Chrome 81 Chrome також перестане завантажувати змішані зображення. Користувачі можуть дозволити завантаження змішаного вмісту, але це не буде за замовчуванням.
Все це робить Інтернет більш безпечним. У дописі блогу Google йдеться, що він сподівається, що повідомлення "Not Secure" "спонукатиме веб-сайти переносити свої зображення на HTTPS".
Як Chrome дозволить вам розблокувати змішаний вміст
Chrome уже блокує деякі типи змішаного вмісту за допомогою піктограми щитка в адресному рядку та повідомлення "Незахищений вміст заблоковано". Ви можете побачити, як це працює на цьому приклад сторінки із змішаним вмістом створений Google. Наприклад, щоб розблокувати сценарій змішаного вмісту, потрібно натиснути посилання «Завантажити небезпечні сценарії».
Якщо ви згодні запускати змішаний вміст, веб-сторінка змінюється із Захищений на Незахищений.
Google спростить це в Chrome 79, який вийде десь у грудні 2019 року. Вам потрібно буде натиснути піктограму замка ліворуч від адреси сторінки, натиснути «Налаштування сайту», а потім розблокувати змішаний вміст для цього сайту.
Варіант стає більш поглибленим, але в цьому суть: більшості людей ніколи не потрібно вмикати змішаний вміст для сайту. Розробники веб-сайтів повинні виправити свої веб-сайти для безпечної доставки ресурсів. Цей параметр гарантує, що кожен, хто користується старим бізнес-сайтом, зможе продовжувати доступ до нього, навіть якщо змішаний вміст вимкнено для всіх.
Якщо вам потрібен сайт, який цього вимагає, не хвилюйтеся: Google не оголосив дату, коли вилучає опцію завантаження змішаного вмісту в Chrome. Веб-браузер Google за замовчуванням буде блокувати весь змішаний вміст, але надалі пропонуватиме можливість увімкнути змішаний вміст в найближчому майбутньому.
А як щодо інших браузерів?
Chrome не один. Firefox також блокує змішаний вміст, такий як сценарії та фрейми, і вимагає натиснути кнопку " Наразі вимкніть захист Налаштування, щоб увімкнути його. Ми очікуємо, що Mozilla піде слідами Google. Safari від Apple налаштований агресивно блокування змішаного вмісту теж.
І, звичайно, новий браузер Microsoft Edge базуватиметься на коді Chromium, який є основою для Google Chrome і буде поводитися як Chrome.
ПОВ'ЯЗАНІ: Чому Google Chrome каже, що веб-сайти "не захищені"?
