החל מ-Chrome 79, Google תתחיל לחסום משאבי משנה HTTP לא מאובטחים מטעינה בדפי HTTPS כדי לחזק את האבטחה.
במטרה לאבטח משתמשים, גוגל התחילו לתייג אתרי HTTP כ"לא מאובטח" עם Chrome 68 מוקדם יותר השנה. הודות לשינוי הזה, קל יותר למשתמשים לזהות מתי הם גולשים באתר שעלול להיות לא בטוח. יתרה מכך, זה גם גרם למפתחים לעדכן את אתרי האינטרנט שלהם בתעודות SSL. כעת, במטרה לחזק עוד יותר את האבטחה, גוגל פועלת למנוע טעינת משאבי HTTP לא מאובטחים בדפי HTTPS.
בפוסט שפורסם לאחרונה בנושא בלוג Chromium, החברה תיארה צעדים לחסימת תוכן מעורב לחלוטין. עבור הלא מודעים, דפי HTTPS כוללים בדרך כלל תוכן מעורב, שבו חלק משאבי המשנה נטענים בצורה לא מאובטחת באמצעות HTTP. אבל בעוד שדפדפנים חוסמים סוגים רבים של תוכן מעורב כברירת מחדל, תמונות, אודיו ווידאו עדיין מורשים להיטען. זה עלול לאפשר לתוקפים להתעסק בתוכן מעורב ולפגוע באבטחת המשתמש.
לכן, החל מ Chrome 79 והלאה, הדפדפן יעבור בהדרגה לחסום את כל התוכן המעורב כברירת מחדל. כדי למנוע מאתרים להישבר עקב השינוי, גוגל תשדרג אוטומטית משאבים מעורבים ל-HTTPS. עם זאת, למשתמשים עדיין תהיה אפשרות לבטל את הסכמתם לחסימת תוכן מעורב באתרים מסוימים. החברה גם סיפקה משאבים למפתחים כדי לעזור להם למצוא ולתקן תוכן מעורב באתרים שלהם.
בכרום 79, שישוחרר לערוץ היציב בדצמבר השנה, גוגל תציג הגדרה חדשה לביטול חסימת תוכן מעורב. ההגדרה החדשה תחול על סקריפטים מעורבים, iframes ותוכן מעורב אחר ש-Chrome חוסם כעת כברירת מחדל. משאבי אודיו ווידאו מעורבים ישודרגו אוטומטית ל-HTTPS ב-Chrome 80. במקרה שהמשאבים לא ייטענו ב-HTTPS, הם ייחסמו. עם זאת, תמונות מעורבות עדיין יורשו להיטען, אך הן יציגו את התווית "לא מאובטח" בסרגל הכתובות.
בעדכון הבא של Chrome 81, גם תמונות מעורבות ישודרגו אוטומטית ל-HTTPS. ושוב, תמונות שלא מצליחות להיטען ב-HTTPS ייחסמו. מפתחים שרוצים להעביר את התוכן המעורב שלהם ל-HTTPS יכולים לבדוק את המשאבים הזמינים בפוסט הרשמי המקושר למטה.
מָקוֹר: בלוג Chromium