Ab Chrome 79 wird Google damit beginnen, das Laden unsicherer HTTP-Subressourcen auf HTTPS-Seiten zu blockieren, um die Sicherheit zu erhöhen.
Um die Nutzer zu schützen, hat Google begann, HTTP-Websites als „nicht sicher“ zu kennzeichnen. mit Chrome 68 Anfang des Jahres. Dank dieser Änderung konnten Benutzer leichter erkennen, wenn sie eine potenziell unsichere Website durchsuchten. Darüber hinaus wurden Entwickler dazu veranlasst, ihre Websites mit SSL-Zertifikaten zu aktualisieren. Um die Sicherheit weiter zu erhöhen, arbeitet Google nun daran, das Laden unsicherer HTTP-Subressourcen auf HTTPS-Seiten zu verhindern.
In einem aktuellen Beitrag zum Chromium-Blog, hat das Unternehmen Schritte beschrieben, um gemischte Inhalte vollständig zu blockieren. Für Unwissende: HTTPS-Seiten enthalten häufig gemischte Inhalte, bei denen einige Unterressourcen unsicher über HTTP geladen werden. Doch während Browser viele Arten gemischter Inhalte standardmäßig blockieren, dürfen Bilder, Audio- und Videoinhalte weiterhin geladen werden. Dies könnte es Angreifern möglicherweise ermöglichen, gemischte Inhalte zu manipulieren und die Benutzersicherheit zu gefährden.
Daher beginnend mit Chrom 79 Ab diesem Zeitpunkt wird der Browser nach und nach dazu übergehen, alle gemischten Inhalte standardmäßig zu blockieren. Um zu verhindern, dass Websites aufgrund der Änderung kaputt gehen, wird Google gemischte Ressourcen automatisch auf HTTPS aktualisieren. Benutzer haben jedoch weiterhin die Möglichkeit, die Blockierung gemischter Inhalte auf bestimmten Websites zu deaktivieren. Das Unternehmen hat außerdem Ressourcen für Entwickler bereitgestellt, die ihnen dabei helfen sollen, gemischte Inhalte auf ihren Websites zu finden und zu korrigieren.
In Chrome 79, das im Dezember dieses Jahres auf dem stabilen Kanal veröffentlicht wird, wird Google eine neue Einstellung zum Entsperren gemischter Inhalte einführen. Die neue Einstellung gilt für gemischte Skripte, Iframes und andere gemischte Inhalte, die Chrome derzeit standardmäßig blockiert. Gemischte Audio- und Videoressourcen werden dann in Chrome 80 automatisch auf HTTPS aktualisiert. Falls die Ressourcen nicht über HTTPS geladen werden können, werden sie blockiert. Gemischte Bilder können zwar weiterhin geladen werden, sie zeigen jedoch in der Omnibox die Kennzeichnung „Nicht sicher“ an.
Im folgenden Chrome 81-Update werden auch gemischte Bilder automatisch auf HTTPS aktualisiert. Und noch einmal: Bilder, die nicht über HTTPS geladen werden können, werden blockiert. Entwickler, die ihre gemischten Inhalte auf HTTPS migrieren möchten, können die verfügbaren Ressourcen im unten verlinkten offiziellen Beitrag überprüfen.
Quelle: Chromium-Blog