A partire da Chrome 79, Google inizierà a bloccare il caricamento di sottorisorse HTTP non sicure sulle pagine HTTPS per rafforzare la sicurezza.
Nel tentativo di proteggere gli utenti, Google ha iniziato a etichettare i siti Web HTTP come "Non sicuri" con Chrome 68 all'inizio di quest'anno. Grazie a questo cambiamento, è diventato più facile per gli utenti individuare quando stavano navigando in un sito web potenzialmente non sicuro. Inoltre, ha anche spinto gli sviluppatori ad aggiornare i propri siti Web con certificati SSL. Ora, nel tentativo di rafforzare ulteriormente la sicurezza, Google sta lavorando per impedire il caricamento di sottorisorse HTTP non sicure sulle pagine HTTPS.
In un recente post su Blog sul cromo, la società ha delineato i passaggi per bloccare completamente i contenuti misti. Per chi non lo sapesse, le pagine HTTPS presentano comunemente contenuti misti, in cui alcune risorse secondarie vengono caricate in modo non sicuro su HTTP. Ma mentre i browser bloccano molti tipi di contenuti misti per impostazione predefinita, è comunque consentito caricare immagini, audio e video. Ciò potrebbe potenzialmente consentire agli aggressori di manomettere contenuti misti e compromettere la sicurezza degli utenti.
Pertanto, a partire da Cromo 79 in poi, il browser passerà gradualmente a bloccare tutti i contenuti misti per impostazione predefinita. Per evitare che i siti Web si rompano a causa della modifica, Google aggiornerà automaticamente le risorse miste a HTTPS. Tuttavia, gli utenti avranno comunque la possibilità di disattivare il blocco dei contenuti misti su determinati siti web. L'azienda ha inoltre fornito risorse agli sviluppatori per aiutarli a trovare e correggere contenuti misti sui loro siti web.
In Chrome 79, che verrà rilasciato sul canale stabile a dicembre di quest'anno, Google introdurrà una nuova impostazione per sbloccare i contenuti misti. La nuova impostazione verrà applicata a script misti, iframe e altri contenuti misti che Chrome attualmente blocca per impostazione predefinita. Le risorse audio e video miste verranno quindi aggiornate automaticamente a HTTPS in Chrome 80. Nel caso in cui le risorse non vengano caricate su HTTPS, verranno bloccate. Tuttavia, sarà comunque consentito caricare immagini miste, ma verrà visualizzata l'etichetta "Non protetto" nella omnibox.
Nel successivo aggiornamento Chrome 81, anche le immagini miste verranno aggiornate automaticamente a HTTPS. E ancora una volta, le immagini che non riescono a caricarsi su HTTPS verranno bloccate. Gli sviluppatori che desiderano migrare i propri contenuti misti su HTTPS possono controllare le risorse disponibili nel post ufficiale collegato di seguito.
Fonte: Blog sul cromo