З наступного року Google Chrome буде суворішим до веб-сайтів, які ще не повністю перейшли на HTTPS і завантажують певний контент — зображення, скрипти, відео — через http://.
Такий змішаний контент завжди був проблемою, адже елементи, що завантажуються без шифрування, не можна назвати безпечними. Та сайти здебільшого ігнорували цей ризик — оскільки довгий час HTTPS-протоколом мало хто користувався.
Втім останніми роками Google і Mozilla активно популяризували HTTPS та змінили правила гри. Тепер понад 90% сайтів у Chrome відкриваються саме через цей протокол.
Зараз, якщо на HTTPS-сторінках є елементи без шифрування, браузер показує відповідну позначку — Not secure — та блокує деякі небезпечні елементи. З наступного року блокуватиметься увесь HTTP-контент, тож сторінки, відкриті через https://, будуть гарантовано захищені.
Це відбуватиметься у декілька етапів:
У Chrome 79, що вийде в грудні цього року, можна буде вимикати блокування для конкретних сайтів. Це стосується змішаних скриптів, iframe та іншого контенту, котрий зараз Chrome блокує за замовчуванням.
У Chrome 80 змішані аудіо- та відеоресурси будуть автоматично оновлені до https://. Якщо вони не зможуть завантажуватись через цей протокол, то блокуватимуться (користувачі зможуть їх розблокувати). Змішані зображення все ще будуть доступні, але браузер видаватиме позначку Not Secure для всієї сторінки.
Щоб уникнути цього розробники можуть використати властивості upgrade-insecure-requests або block-all-mixed-content. Випуск Chrome 80 запланований на січень 2020.
У Chrome 81 змішані зображення будуть блокуватись за замовчуванням, якщо вони не завантажуватимуться через https://.
Ще немає коментарів