Google продовжує просувати HTTPS, все більше обмежуючи в можливостях сайти, у яких немає TLS-сертифікатів, хоча таких сайтів залишилося вже мало. З липня минулого року Chrome почав позначати такі сайти як небезпечні. Зараз наступний крок – компанія анонсувала ряд кроків щодо поступового блокування змішаного контенту.
Змішаний контент (mixed content) – це незахищені елементи, що передаються по HTTP-протоколу через сторінки з SSL-сертифікатом. Наприклад, зображення, аудіо та відео зі сторонніх (незахищених) доменів. Від такої практики доведеться відмовитися зовсім.
«За останні роки в інтернеті досягнуто значного прогресу в переході на HTTPS: частка захищеного трафіку в Chrome перевищила 90% на всіх основних платформах. Тепер ми хочемо переконатися, що конфігурації HTTPS через інтернет є безпечними і актуальними», – пояснюється в офіційному блозі компанії.
Зараз браузери за замовчуванням блокують багато типів змішаного контенту, в тому числі скрипти і фрейми, але мультимедійні елементи ще завантажуються. На думку фахівців Google, це загрожує конфіденційності та безпеці користувачів. Оскільки такий трафік не шифрується, то він схильний до всіх видів MiTM-атак. Наприклад, зловмисник може підробити біржовий графік, щоб ввести в оману інвесторів, або поставити на сторінку стежачий трекер.
Завантаження змішаного контенту також вводить в оману з точки зору UX-інтерфейсу. Виходить, що сторінка представлена ні як безпечна, ні як небезпечна, а десь між ними.
«Починаючи з версії Chrome 79 буде відбуватися поступове блокування за замовчуванням всього змішаного контенту. Щоб мінімізувати збитки, ми автоматично переведемо змішані ресурси на https: //, тому сайти будуть продовжувати автоматично працювати, якщо їх сторонні ресурси доступні також за https: //, – пояснює Google. – Користувачі зможуть включити параметр, щоб відмовитися від блокування змішаного контенту на певних веб-сайтах».
Chrome 79 вийде на стабільному каналі в грудні 2019 року. Там з’явиться нове налаштування для розблокування змішаного контенту на певних сайтах. Цей параметр буде застосовуватися до скриптів, фреймів і інших типів контенту, які Chrome в даний час блокує за умовченням. Доступ до налаштувань сайту (Site settings) відкривається після натискання на піктограму замочка, як показано на скріншоті.
На другому етапі з версії Chrome 80 (ранні версії з’являться в січні 2020 року) всі ресурси, крім зображень, які завантажуються з незахищених сайтів, будуть автоматично переведені на https: //, і Chrome заблокує їх за замовчуванням, якщо вони не зможуть завантажуватися. Описане вище налаштування з розблокування залишиться доступним.
Єдиним винятком стануть зображення, які браузер не блокуватиме навіть з незахищених з’єднань. Але для таких ситуацій в інтерфейсі з’явиться попередження «Небезпечно», як на скріншоті.
У Chrome 81 (ранні версії з’являться в лютому 2020 року) зображення теж будуть автоматично переведені на https: //, і Chrome заблокує їх за замовчуванням, якщо вони не завантажуються за HTTPS.
Google рекомендує веб-розробникам провести аудит своїх ресурсів за допомогою інструменту Lighthouse або використовувати сторонні плагіни і утиліти. Наприклад, є такий плагін для WordPress і утиліта від Cloudflare.
Зміни в Chrome незабаром повторять інші браузери. Google зазвичай не робить такі кроки в ізоляції. Все відбувається узгоджено з колегами з груп розробки Firefox, Edge і Safari. Тому в 2020 році жоден змішаний контент ніде не буде завантажуватися.
Джерело: habr.com
