Google Chrome bloqueará la carga de contenido inseguro en páginas HTTPS

A partir de Chrome 79, Google comenzará a bloquear la carga de subrecursos HTTP inseguros en páginas HTTPS para reforzar la seguridad.

En un intento por proteger a los usuarios, Google comenzó a etiquetar sitios web HTTP como "No seguros" con Chrome 68 a principios de este año. Gracias a este cambio, a los usuarios les resultó más fácil detectar cuándo navegaban por un sitio web potencialmente inseguro. Además, también impulsó a los desarrolladores a actualizar sus sitios web con certificados SSL. Ahora, en un intento por reforzar aún más la seguridad, Google está trabajando para evitar que se carguen subrecursos HTTP inseguros en páginas HTTPS.

En una publicación reciente sobre el Blog de cromo, la compañía ha descrito pasos para bloquear completamente el contenido mixto. Para los que no lo saben, las páginas HTTPS suelen presentar contenido mixto, donde algunos subrecursos se cargan de forma insegura a través de HTTP. Pero aunque los navegadores bloquean muchos tipos de contenido mixto de forma predeterminada, aún se permite la carga de imágenes, audio y vídeo. Esto podría permitir potencialmente a los atacantes alterar contenido mixto y comprometer la seguridad del usuario.

Por lo tanto, a partir de Cromo 79 En adelante, el navegador se moverá gradualmente para bloquear todo el contenido mixto de forma predeterminada. Para evitar que los sitios web fallen debido al cambio, Google actualizará automáticamente los recursos mixtos a HTTPS. Sin embargo, los usuarios seguirán teniendo la opción de optar por no recibir el bloqueo de contenido mixto en sitios web concretos. La compañía también ha proporcionado recursos a los desarrolladores para ayudarlos a encontrar y corregir contenido mixto en sus sitios web.

En Chrome 79, que se lanzará al canal estable en diciembre de este año, Google introducirá una nueva configuración para desbloquear contenido mixto. La nueva configuración se aplicará a scripts mixtos, iframes y otro contenido mixto que Chrome actualmente bloquea de forma predeterminada. Los recursos mixtos de audio y vídeo se actualizarán automáticamente a HTTPS en Chrome 80. En caso de que los recursos no se carguen a través de HTTPS, serán bloqueados. Sin embargo, aún se permitirá la carga de imágenes mixtas, pero aparecerán la etiqueta "No seguro" en el omnibox.

En la siguiente actualización de Chrome 81, las imágenes mixtas también se actualizarán automáticamente a HTTPS. Y una vez más, las imágenes que no se carguen a través de HTTPS serán bloqueadas. Los desarrolladores que deseen migrar su contenido mixto a HTTPS pueden consultar los recursos disponibles en la publicación oficial vinculada a continuación.


Fuente: Blog de cromo