Począwszy od przeglądarki Chrome 79, Google zacznie blokować wczytywanie niezabezpieczonych podzasobów HTTP na stronach HTTPS, aby zwiększyć bezpieczeństwo.
Chcąc zabezpieczyć użytkowników, Google zaczął oznaczać witryny HTTP jako „Niezabezpieczone” z Chrome 68 na początku tego roku. Dzięki tej zmianie użytkownicy łatwiej mogli wykryć, kiedy przeglądają potencjalnie niebezpieczną witrynę. Co więcej, skłoniło to również programistów do aktualizacji swoich witryn internetowych za pomocą certyfikatów SSL. Obecnie, chcąc jeszcze bardziej zwiększyć bezpieczeństwo, Google pracuje nad zapobieganiem ładowaniu niezabezpieczonych podzasobów HTTP na stronach HTTPS.
W niedawnym poście na Blog o Chromie, firma przedstawiła kroki umożliwiające całkowite zablokowanie treści mieszanych. Dla nieświadomych strony HTTPS często zawierają mieszaną treść, w przypadku której niektóre podzasoby są ładowane w sposób niepewny przez HTTP. Chociaż przeglądarki domyślnie blokują wiele typów treści mieszanych, obrazy, pliki audio i wideo nadal mogą się ładować. Może to potencjalnie pozwolić atakującym na manipulowanie mieszaną zawartością i narażanie bezpieczeństwa użytkowników.
Dlatego zaczynając od Chrom 79 i później przeglądarka będzie stopniowo domyślnie blokować całą mieszaną zawartość. Aby zapobiec awariom witryn internetowych w wyniku tej zmiany, Google automatycznie uaktualni zasoby mieszane do protokołu HTTPS. Jednakże użytkownicy nadal będą mieli możliwość rezygnacji z blokowania treści mieszanych w poszczególnych witrynach. Firma udostępniła także programistom zasoby, które pomagają im znajdować i naprawiać mieszaną treść w ich witrynach internetowych.
W przeglądarce Chrome 79, która ukaże się na kanale stabilnym w grudniu tego roku, Google wprowadzi nowe ustawienie umożliwiające odblokowywanie treści mieszanych. Nowe ustawienie będzie miało zastosowanie do skryptów mieszanych, ramek iframe i innych treści mieszanych, które Chrome obecnie domyślnie blokuje. Mieszane zasoby audio i wideo zostaną następnie automatycznie uaktualnione do protokołu HTTPS w przeglądarce Chrome 80. Jeśli zasoby nie zostaną załadowane przez HTTPS, zostaną zablokowane. Jednakże obrazy mieszane będą nadal mogły się ładować, ale w omniboksie wyświetli się etykieta „Niezabezpieczone”.
W następnej aktualizacji przeglądarki Chrome 81 obrazy mieszane również zostaną automatycznie zaktualizowane do protokołu HTTPS. I po raz kolejny obrazy, które nie zostaną załadowane przez HTTPS, zostaną zablokowane. Programiści, którzy chcą migrować swoją mieszaną zawartość do HTTPS, mogą sprawdzić dostępne zasoby w oficjalnym poście, do którego link znajduje się poniżej.
Źródło: Blog o Chromie