Chrome полностью заблокирует смешанный контент

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Загрузка картинок с незащищённых сайтов тоже будет блокироваться

Google продолжает продвигать HTTPS, всё больше ограничивая в возможностях сайты, у которых нет TLS-сертификатов, хотя таких сайтов осталось уже мало. С июля прошлого года Chrome начал помечать такие сайты как небезопасные. Сейчас следующий шаг — компания анонсировала ряд шагов по постепенной блокировке смешанного контента.

Смешанный контент (mixed content) — это незащищённые элементы, передаваемые по HTTP-протоколу через страницы с SSL-сертификатом. Например, изображения, аудио и видео со сторонних (незащищённых) доменов. От такой практики придётся отказаться совсем.

«За последние годы в интернете достигнут большой прогресс в переходе на HTTPS: доля защищённого трафика в Chrome превысила 90% на всех основных платформах. Теперь мы хотим убедиться, что конфигурации HTTPS через интернет являются безопасными и актуальными», — объясняется в официальном блоге компании.

Сейчас браузеры по умолчанию блокируют многие типы смешанного контента, в том числе скрипты и фреймы, но мультимедийные элементы ещё загружаются. По мнению специалистов Google, это угрожает конфиденциальности и безопасности пользователей. Поскольку такой трафик не шифруется, то он подвержен всем видам MiTM-атак. Например, злоумышленник может подделать биржевой график, чтобы ввести в заблуждение инвесторов, или поставить на страницу следящий трекер.

Загрузка смешанного контента также вводит в заблуждение с точки зрения UX-интерфейса. Получается, что страница представлена ни как безопасная, ни как небезопасная, а где-то между ними.

«Начиная с версии Chrome 79 будет происходить постепенная блокировка по умолчанию всего смешанного контента. Чтобы минимизировать ущерб, мы автоматически переведём смешанные ресурсы на https://, поэтому сайты будут продолжать автоматически работать, если их сторонние ресурсы доступны также по https://, — поясняет Google. — Пользователи смогут включить параметр, чтобы отказаться от блокировки смешанного контента на определённых веб-сайтах».

Chrome 79 выйдет на стабильном канале в декабре 2019 года. Там появится новая настройка для разблокировки смешанного контента на определённых сайтах. Этот параметр будет применяется к скриптам, фреймам и другим типам контента, которые Chrome в настоящее время блокирует по умолчанию. Доступ к настройкам сайта (Site settings) открывается по нажатию на пиктограмму замочка, как показано на скриншоте.



На втором этапе с версии Chrome 80 (ранние версии появятся в январе 2020 года) все ресурсы, кроме изображений, которые подгружаются с незащищённых сайтов, будут автоматически переведены на https://, и Chrome заблокирует их по умолчанию, если они не смогут загружаться по . Описанная выше настройка по разблокировке останется доступна.

Единственным исключением станут изображения, которые браузер не будет блокировать даже с незащищённых соединений. Но для таких ситуаций в интерфейсе появится предупреждение «Не безопасно», как на скриншоте.



В Chrome 81 (ранние версии появятся в феврале 2020 года) изображения тоже будут автоматически переведены на https://, и Chrome заблокирует их по умолчанию, если они не загружаются по HTTPS.

Google рекомендует веб-разработчикам провести аудит своих ресурсов с помощью инструмента Lighthouse или использовать сторонние плагины и утилиты. Например, есть такой плагин для WordPress и утилита от Cloudflare.

См. также «Полное руководство по переходу на HTTPS» на Хабре.

Изменения в Chrome вскоре повторят остальные браузеры. Google обычно не делает такие шаги в изоляции. Всё происходит согласованно с коллегами из групп разработки Firefox, Edge и Safari. Поэтому в 2020 году никакой смешанный контент нигде не будет загружаться.




СПЕЦИАЛЬНЫЕ УСЛОВИЯ на PKI-решения для предприятий действуют до 30.11.2019 г. по промо-коду AL002HRFR для новых клиентов. Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.
Источник: https://habr.com/ru/company/globalsign/blog/471078/


Интересные статьи

Интересные статьи

SWAP (своп) — это механизм виртуальной памяти, при котором часть данных из оперативной памяти (ОЗУ) перемещается на хранение на HDD (жёсткий диск), SSD (твёрдотельный накоп...
Недавно на проекте интегрировал модуль CRM Битрикса c виртуальной АТС Ростелеком. Делал по стандартной инструкции, где пошагово показано, какие поля заполнять. Оказалось, следование ей не гаран...
Статья о том, как упорядочить найм1. Информируем о вакансии2. Ведём до найма3. Автоматизируем скучное4. Оформляем и выводим на работу5. Отчитываемся по итогам6. Помогаем с адаптацией...
В этом выпуске: 00:38 — Новинки Apple: iPhone 11, Watch и бюджетный iPad для студентов. Добавляет ли профессиональности приставка Pro? 08:28 — «Честнофон» Fairphone — полностью модульный ...
Эта статья посвящена одному из способов сделать в 1с-Битрикс форму в всплывающем окне. Достоинства метода: - можно использовать любые формы 1с-Битрикс, которые выводятся компонентом. Например, добавле...