À partir de Chrome 79, Google commencera à empêcher le chargement des sous-ressources HTTP non sécurisées sur les pages HTTPS afin de renforcer la sécurité.
Dans le but de sécuriser les utilisateurs, Google a commencé à qualifier les sites Web HTTP de « non sécurisés » avec Chrome 68 plus tôt cette année. Grâce à ce changement, il est devenu plus facile pour les utilisateurs de repérer lorsqu'ils naviguent sur un site Web potentiellement dangereux. De plus, cela a également incité les développeurs à mettre à jour leurs sites Web avec des certificats SSL. Désormais, dans le but de renforcer davantage la sécurité, Google s'efforce d'empêcher le chargement de sous-ressources HTTP non sécurisées sur les pages HTTPS.
Dans un article récent sur Blog Chrome, la société a décrit les étapes à suivre pour bloquer complètement le contenu mixte. Pour ceux qui ne le savent pas, les pages HTTPS présentent généralement un contenu mixte, dans lequel certaines sous-ressources sont chargées de manière non sécurisée via HTTP. Mais même si les navigateurs bloquent par défaut de nombreux types de contenu mixte, les images, l’audio et la vidéo sont toujours autorisés à se charger. Cela pourrait potentiellement permettre aux attaquants de falsifier des contenus mixtes et de compromettre la sécurité des utilisateurs.
Par conséquent, à partir de Chromé 79 À partir de maintenant, le navigateur bloquera progressivement tout contenu mixte par défaut. Afin d'éviter que les sites Web ne soient interrompus en raison de ce changement, Google mettra automatiquement à niveau les ressources mixtes vers HTTPS. Cependant, les utilisateurs auront toujours la possibilité de refuser le blocage de contenu mixte sur des sites Web particuliers. La société a également fourni des ressources aux développeurs pour les aider à trouver et à corriger le contenu mixte sur leurs sites Web.
Dans Chrome 79, qui sera publié sur le canal stable en décembre de cette année, Google introduira un nouveau paramètre pour débloquer le contenu mixte. Le nouveau paramètre s'appliquera aux scripts mixtes, aux iframes et à tout autre contenu mixte que Chrome bloque actuellement par défaut. Les ressources audio et vidéo mixtes seront ensuite automatiquement mises à niveau vers HTTPS dans Chrome 80. Si les ressources ne parviennent pas à se charger via HTTPS, elles seront bloquées. Cependant, les images mixtes seront toujours autorisées à se charger, mais elles feront apparaître l'étiquette « Non sécurisé » dans l'omnibox.
Dans la mise à jour suivante de Chrome 81, les images mixtes seront également automatiquement mises à niveau vers HTTPS. Et encore une fois, les images qui ne parviennent pas à se charger via HTTPS seront bloquées. Les développeurs qui souhaitent migrer leur contenu mixte vers HTTPS peuvent consulter les ressources disponibles dans la publication officielle liée ci-dessous.
Source: Blog Chrome