Vanaf Chrome 79 begint Google te voorkomen dat onveilige HTTP-subbronnen op HTTPS-pagina's worden geladen om de beveiliging te vergroten.
In een poging om gebruikers te beveiligen, heeft Google begon HTTP-websites te labelen als 'Niet veilig' met Chrome 68 eerder dit jaar. Dankzij deze wijziging werd het voor gebruikers gemakkelijker om te zien wanneer ze op een mogelijk onveilige website surften. Bovendien heeft het ontwikkelaars er ook toe aangezet hun websites te updaten met SSL-certificaten. In een poging de beveiliging verder te versterken, werkt Google er nu aan om te voorkomen dat onveilige HTTP-subbronnen op HTTPS-pagina's worden geladen.
In een recent bericht op de Chromium-blogheeft het bedrijf stappen uiteengezet om gemengde inhoud volledig te blokkeren. Voor de onwetenden: HTTPS-pagina's bevatten vaak gemengde inhoud, waarbij sommige subbronnen onveilig via HTTP worden geladen. Maar hoewel browsers standaard veel soorten gemengde inhoud blokkeren, mogen afbeeldingen, audio en video nog steeds worden geladen. Hierdoor kunnen aanvallers mogelijk met gemengde inhoud knoeien en de gebruikersveiligheid in gevaar brengen.
Daarom vanaf Chroom 79 Vanaf nu zal de browser geleidelijk alle gemengde inhoud standaard blokkeren. Om te voorkomen dat websites kapot gaan als gevolg van de wijziging, zal Google gemengde bronnen automatisch upgraden naar HTTPS. Gebruikers hebben echter nog steeds de mogelijkheid om zich af te melden voor het blokkeren van gemengde inhoud op bepaalde websites. Het bedrijf heeft ontwikkelaars ook hulpmiddelen ter beschikking gesteld om hen te helpen gemengde inhoud op hun websites te vinden en op te lossen.
In Chrome 79, dat in december van dit jaar op het stabiele kanaal wordt uitgebracht, introduceert Google een nieuwe instelling om gemengde inhoud te deblokkeren. De nieuwe instelling is van toepassing op gemengde scripts, iframes en andere gemengde inhoud die Chrome momenteel standaard blokkeert. Gemengde audio- en videobronnen worden vervolgens automatisch geüpgraded naar HTTPS in Chrome 80. Als de bronnen niet via HTTPS kunnen worden geladen, worden ze geblokkeerd. Gemengde afbeeldingen kunnen echter nog steeds worden geladen, maar ze zullen het label 'Niet veilig' in de omnibox weergeven.
In de volgende Chrome 81-update worden gemengde afbeeldingen ook automatisch geüpgraded naar HTTPS. En nogmaals: afbeeldingen die niet via HTTPS kunnen worden geladen, worden geblokkeerd. Ontwikkelaars die hun gemengde inhoud naar HTTPS willen migreren, kunnen de beschikbare bronnen raadplegen in het officiële bericht hieronder.
Bron: Chromium-blog