Chrome 79:stä alkaen Google alkaa estää suojaamattomia HTTP-aliresursseja latautumasta HTTPS-sivuille turvallisuuden parantamiseksi.
Käyttäjien turvaamiseksi Google alkoi merkitä HTTP-sivustoja "ei suojatuiksi" Chrome 68:lla aiemmin tänä vuonna. Tämän muutoksen ansiosta käyttäjien oli helpompi havaita, kun he selaavat mahdollisesti vaarallista verkkosivustoa. Lisäksi se kehotti kehittäjiä päivittämään verkkosivustonsa SSL-varmenteilla. Turvallisuuden lisäämiseksi Google pyrkii nyt estämään suojaamattomien HTTP-aliresurssien lataamisen HTTPS-sivuille.
Tuoreessa viestissä aiheesta Chromium-blogi, yritys on hahmotellut toimet sekasisällön estämiseksi kokonaan. Tietämättömille HTTPS-sivuilla on yleensä sekalaista sisältöä, jossa jotkin aliresurssit ladataan turvattomasti HTTP: n kautta. Vaikka selaimet estävät oletuksena monenlaista sekoitettua sisältöä, kuvien, äänen ja videon lataus sallitaan silti. Tämä saattaa antaa hyökkääjille mahdollisuuden peukaloida sekoitettua sisältöä ja vaarantaa käyttäjien turvallisuuden.
Siksi alkaen Chrome 79 Tästä eteenpäin selain siirtyy asteittain estämään oletusarvoisesti kaiken sekalaisen sisällön. Jotta verkkosivustot eivät hajoaisi muutoksen takia, Google päivittää sekaresurssit automaattisesti HTTPS: ään. Käyttäjillä on kuitenkin edelleen mahdollisuus kieltäytyä sekasisällön estosta tietyillä verkkosivustoilla. Yritys on myös tarjonnut kehittäjille resursseja auttaakseen heitä löytämään ja korjaamaan sekalaista sisältöä verkkosivustoillaan.
Chrome 79:ssä, joka julkaistaan vakaalle kanavalle tämän vuoden joulukuussa, Google ottaa käyttöön uuden asetuksen sekasisällön eston poistamiseksi. Uusi asetus koskee sekoitettuja skriptejä, iframe-kehyksiä ja muuta sekoitettua sisältöä, jonka Chrome tällä hetkellä estää oletuksena. Sekalaiset ääni- ja videoresurssit päivitetään sitten automaattisesti HTTPS: ksi Chrome 80:ssä. Jos resurssit eivät lataudu HTTPS: n kautta, ne estetään. Sekakuvien lataaminen sallitaan kuitenkin edelleen, mutta ne tuovat esiin "Ei suojattu" -tunnisteen omniboxissa.
Seuraavassa Chrome 81 -päivityksessä myös sekakuvat päivitetään automaattisesti HTTPS: ään. Ja jälleen kerran, kuvat, jotka eivät lataudu HTTPS: n kautta, estetään. Kehittäjät, jotka haluavat siirtää sekasisältönsä HTTPS: ään, voivat tarkistaa käytettävissä olevat resurssit alla linkitetystä virallisesta viestistä.
Lähde: Chromium-blogi