A partir do Chrome 79, o Google começará a bloquear o carregamento de sub-recursos HTTP inseguros em páginas HTTPS para aumentar a segurança.
Em uma tentativa de proteger os usuários, o Google começou a rotular sites HTTP como "Não seguros" com o Chrome 68 no início deste ano. Graças a essa mudança, ficou mais fácil para os usuários detectarem quando estavam navegando em um site potencialmente inseguro. Além disso, também levou os desenvolvedores a atualizar seus sites com certificados SSL. Agora, em uma tentativa de reforçar ainda mais a segurança, o Google está trabalhando para evitar que sub-recursos HTTP inseguros sejam carregados em páginas HTTPS.
Em uma postagem recente no Blog do cromo, a empresa delineou etapas para bloquear completamente o conteúdo misto. Para quem não sabe, as páginas HTTPS geralmente apresentam conteúdo misto, onde alguns sub-recursos são carregados de forma insegura por HTTP. Mas embora os navegadores bloqueiem muitos tipos de conteúdo misto por padrão, imagens, áudio e vídeo ainda podem ser carregados. Isso poderia permitir que invasores adulterassem conteúdo misto e comprometessem a segurança do usuário.
Portanto, a partir de Cromo 79 em diante, o navegador irá gradualmente bloquear todo o conteúdo misto por padrão. Para evitar que sites sejam quebrados devido à mudança, o Google atualizará automaticamente os recursos mistos para HTTPS. No entanto, os usuários ainda terão a opção de cancelar o bloqueio de conteúdo misto em determinados sites. A empresa também forneceu recursos para desenvolvedores ajudá-los a encontrar e corrigir conteúdo misto em seus sites.
No Chrome 79, que será lançado no canal estável em dezembro deste ano, o Google apresentará uma nova configuração para desbloquear conteúdo misto. A nova configuração será aplicada a scripts mistos, iframes e outros conteúdos mistos que o Chrome bloqueia atualmente por padrão. Os recursos mistos de áudio e vídeo serão atualizados automaticamente para HTTPS no Chrome 80. Caso os recursos não sejam carregados por HTTPS, eles serão bloqueados. Imagens mistas, no entanto, ainda poderão ser carregadas, mas exibirão o rótulo "Não seguro" na omnibox.
Na próxima atualização do Chrome 81, as imagens mistas também serão atualizadas automaticamente para HTTPS. E mais uma vez, as imagens que não conseguirem carregar via HTTPS serão bloqueadas. Os desenvolvedores que desejam migrar seu conteúdo misto para HTTPS podem verificar os recursos disponíveis no post oficial no link abaixo.
Fonte: Blog do cromo