Chrome полностью заблокирует смешанный контент

9087903c62dae40ace8db92523b1f433.png
Загрузка картинок с незащищённых сайтов тоже будет блокироваться

Google продолжает продвигать HTTPS, всё больше ограничивая в возможностях сайты, у которых нет TLS-сертификатов, хотя таких сайтов осталось уже мало. С июля прошлого года Chrome начал помечать такие сайты как небезопасные. Сейчас следующий шаг — компания анонсировала ряд шагов по постепенной блокировке смешанного контента.

Смешанный контент (mixed content) — это незащищённые элементы, передаваемые по HTTP-протоколу через страницы с SSL-сертификатом. Например, изображения, аудио и видео со сторонних (незащищённых) доменов. От такой практики придётся отказаться совсем.
«За последние годы в интернете достигнут большой прогресс в переходе на HTTPS: доля защищённого трафика в Chrome превысила 90% на всех основных платформах. Теперь мы хотим убедиться, что конфигурации HTTPS через интернет являются безопасными и актуальными», — объясняется в официальном блоге компании.

Сейчас браузеры по умолчанию блокируют многие типы смешанного контента, в том числе скрипты и фреймы, но мультимедийные элементы ещё загружаются. По мнению специалистов Google, это угрожает конфиденциальности и безопасности пользователей. Поскольку такой трафик не шифруется, то он подвержен всем видам MiTM-атак. Например, злоумышленник может подделать биржевой график, чтобы ввести в заблуждение инвесторов, или поставить на страницу следящий трекер.

Загрузка смешанного контента также вводит в заблуждение с точки зрения UX-интерфейса. Получается, что страница представлена ни как безопасная, ни как небезопасная, а где-то между ними.

«Начиная с версии Chrome 79 будет происходить постепенная блокировка по умолчанию всего смешанного контента. Чтобы минимизировать ущерб, мы автоматически переведём смешанные ресурсы на https://, поэтому сайты будут продолжать автоматически работать, если их сторонние ресурсы доступны также по https://, — поясняет Google. — Пользователи смогут включить параметр, чтобы отказаться от блокировки смешанного контента на определённых веб-сайтах».

Chrome 79 выйдет на стабильном канале в декабре 2019 года. Там появится новая настройка для разблокировки смешанного контента на определённых сайтах. Этот параметр будет применяется к скриптам, фреймам и другим типам контента, которые Chrome в настоящее время блокирует по умолчанию. Доступ к настройкам сайта (Site settings) открывается по нажатию на пиктограмму замочка, как показано на скриншоте.

931021253d9da0e4e9f80c9ff6fc7923.png

На втором этапе с версии Chrome 80 (ранние версии появятся в январе 2020 года) все ресурсы, кроме изображений, которые подгружаются с незащищённых сайтов, будут автоматически переведены на https://, и Chrome заблокирует их по умолчанию, если они не смогут загружаться по. Описанная выше настройка по разблокировке останется доступна.

Единственным исключением станут изображения, которые браузер не будет блокировать даже с незащищённых соединений. Но для таких ситуаций в интерфейсе появится предупреждение «Не безопасно», как на скриншоте.

28ab623ac8349889dc590e5fa2a38965.png

В Chrome 81 (ранние версии появятся в феврале 2020 года) изображения тоже будут автоматически переведены на https://, и Chrome заблокирует их по умолчанию, если они не загружаются по HTTPS.

Google рекомендует веб-разработчикам провести аудит своих ресурсов с помощью инструмента Lighthouse или использовать сторонние плагины и утилиты. Например, есть такой плагин для WordPress и утилита от Cloudflare.

См. также «Полное руководство по переходу на HTTPS» на Хабре.

Изменения в Chrome вскоре повторят остальные браузеры. Google обычно не делает такие шаги в изоляции. Всё происходит согласованно с коллегами из групп разработки Firefox, Edge и Safari. Поэтому в 2020 году никакой смешанный контент нигде не будет загружаться.


9qwbzsfapeaakd_obyftagefhny.jpeg
СПЕЦИАЛЬНЫЕ УСЛОВИЯ на PKI-решения для предприятий действуют до 30.11.2019 г. по промо-коду AL002HRFR для новых клиентов. Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.

© Habrahabr.ru