Начиная с Chrome 79, Google начнет блокировать загрузку небезопасных подресурсов HTTP на страницах HTTPS для повышения безопасности.
Стремясь защитить пользователей, Google начали маркировать HTTP-сайты как «небезопасные» с Chrome 68 в начале этого года. Благодаря этому изменению пользователям стало легче обнаружить, когда они просматривают потенциально небезопасный веб-сайт. Более того, это также побудило разработчиков обновить свои сайты сертификатами SSL. Теперь, стремясь еще больше повысить безопасность, Google работает над предотвращением загрузки небезопасных подресурсов HTTP на страницах HTTPS.
В недавнем посте на Блог ХромаКомпания наметила шаги по полной блокировке смешанного контента. Для тех, кто не знает, HTTPS-страницы обычно содержат смешанный контент, где некоторые подресурсы небезопасно загружаются через HTTP. Но хотя браузеры по умолчанию блокируют многие типы смешанного контента, изображения, аудио и видео по-прежнему могут загружаться. Потенциально это может позволить злоумышленникам подделать смешанный контент и поставить под угрозу безопасность пользователей.
Поэтому, начиная с Хром 79 и далее браузер будет постепенно блокировать весь смешанный контент по умолчанию. Чтобы предотвратить сбои веб-сайтов из-за изменений, Google автоматически обновит смешанные ресурсы до HTTPS. Однако у пользователей по-прежнему будет возможность отказаться от блокировки смешанного контента на определенных веб-сайтах. Компания также предоставила разработчикам ресурсы, которые помогут им найти и исправить смешанный контент на своих веб-сайтах.
В Chrome 79, который выйдет в стабильную версию в декабре этого года, Google представит новую настройку для разблокировки смешанного контента. Новый параметр будет применяться к смешанным скриптам, iframe и другому смешанному контенту, который Chrome в настоящее время блокирует по умолчанию. Смешанные аудио- и видеоресурсы будут автоматически обновлены до HTTPS в Chrome 80. Если ресурсы не загружаются по HTTPS, они будут заблокированы. Однако смешанные изображения по-прежнему будут разрешены для загрузки, но в омнибоксе для них будет отображаться метка «Небезопасно».
В следующем обновлении Chrome 81 смешанные изображения также будут автоматически обновлены до HTTPS. И снова изображения, которые не загружаются по HTTPS, будут заблокированы. Разработчики, желающие перенести свой смешанный контент на HTTPS, могут проверить доступные ресурсы в официальном сообщении, указанном ниже.
Источник: Блог Хрома