Google Chrome вече блокира някои видове „смесено съдържание“ в мрежата. Сега, Google обяви става още по-сериозно: От началото на 2020 г. Chrome ще блокира цялото смесено съдържание по подразбиране, нарушавайки някои съществуващи уеб страници. Ето какво означава това.
Съдържание
Какво е смесено съдържание?
Тук има два типа съдържание: съдържание, доставено през сигурна, криптирана HTTPS връзка, и съдържание, доставено през некриптирана HTTP връзка. Когато използвате HTTPS, съдържанието не може да бъде подслушвано или подправено по време на транспортиране, поради което е важно уебсайтовете да предлагат криптиране при работа с финансова информация или лични данни.
Мрежата преминава към защитени HTTPS уебсайтове. Ако се свържете с по-стар HTTP уебсайт без криптиране, Google Chrome вече ви предупреждава, че тези уебсайтове „не са защитени“. Google вече дори скрива индикатора „https://“ по подразбиране, тъй като сайтовете просто трябва да са защитени по подразбиране. А новият HTTP/3 стандарт ще има вградено криптиране.
Но някои уеб страници не могат да бъдат нито изцяло HTTPS, нито изцяло HTTP. Някои уеб страници се доставят през защитена HTTPS връзка, но те изтеглят изображения, скриптове или други ресурси чрез некриптирана HTTP връзка. Такива уеб страници имат „смесено съдържание“, защото не са напълно защитени. Самата уеб страница не може да бъде подправена, но може да изтегли скрипт, изображение или вложена рамка (уеб страница в „рамка“ на друга уеб страница), която може да е била подправена.
Защо смесеното съдържание е лошо
Смесеното съдържание е объркващо. По някакъв начин разглеждате уеб страница, която е едновременно защитена и незащитена. Например, обикновено безопасна и сигурна уеб страница може да извлече JavaScript файл чрез HTTP. Този скрипт може да бъде променен — например, ако сте в обществена Wi-Fi мрежа, която не е надеждна — за да прави много гадни неща на уеб страницата, от наблюдение на натисканията на клавиши до вмъкване на проследяваща бисквитка.
Докато скриптовете и вградените рамки — „активното съдържание“ — са най-опасните, дори изображения, видеоклипове и аудио-смесено съдържание могат да бъдат рискови. Например, представете си, че разглеждате защитен уебсайт за търговия с акции, който изтегля изображение на историята на акциите чрез HTTP. Това изображение не е сигурно – може да е било подправено по време на транспортиране, за да покаже неверни подробности. Освен това, тъй като е доставен през некриптирана връзка, всеки, който подслушва предаваните данни, вероятно знае каква наличност разглеждате.
Лоша идея е да смесвате такова съдържание. Ако дадена уеб страница използва HTTPS, всички нейни ресурси трябва да бъдат изтеглени и чрез HTTPS. Това е просто исторически инцидент – мрежата започна с HTTP и уебсайтовете постепенно се надградиха до HTTPS. Както направиха, те не винаги се актуализираха, за да използват HTTPS ресурси навсякъде. Или може да са зависели от ресурс на трета страна, който не поддържа HTTPS по това време.
Сега, когато Google и други доставчици на браузъри правят смесеното съдържание по-трудно и обезкуражаващо, уебсайтовете ще трябва да изчистят нещата, така че техните уеб страници да продължат да работят по подразбиране.
Какво точно се променя в Chrome?
Понастоящем Chrome блокира смесени скриптове и вградени рамки. В Chrome 80, който ще бъде пуснат в канали за ранна версия през януари 2020 г., Chrome ще блокира смесени аудио и видео ресурси – технически, вместо това ще се опита да ги зареди през защитена HTTPS връзка и ще ги блокира, ако не го направят. Смесените изображения ще се заредят, но Chrome ще каже, че уеб страницата е „Не е защитена“. В Chrome 81 Chrome също ще спре да зарежда смесени изображения. Потребителите могат да разрешат зареждането на смесеното съдържание, но не по подразбиране.
Всичко това е част от това да направим мрежата по-сигурна. В публикацията в блога на Google се казва, че очаква съобщението „Не е сигурно“ „ще мотивира уебсайтовете да мигрират изображенията си към HTTPS“.
Как Chrome ще ви позволи да деблокирате смесено съдържание
Chrome вече блокира някои видове смесено съдържание с икона на щит в адресната лента и съобщение „Несигурно съдържание е блокирано“. Можете да видите как работи това примерна страница със смесено съдържание създадена от Google. Например, за да деблокирате скрипт със смесено съдържание, трябва да щракнете върху връзка, наречена „Зареждане на опасни скриптове“.
Ако се съгласите да стартирате смесеното съдържание, уеб страницата се променя от Сигурна на Несигурна.
Google ще опрости това в Chrome 79, който ще бъде пуснат някъде през декември 2019 г. Ще трябва да щракнете върху иконата за заключване вляво от адреса на страницата, да щракнете върху „Настройки на сайта“ и след това да деблокирате смесено съдържание за този сайт.
Опцията става по-погребана, но това е смисълът: повечето хора никога не трябва да имат нужда да разрешават смесено съдържание за сайт. Разработчиците на уебсайтове трябва да коригират своите уебсайтове, за да доставят ресурси сигурно. Тази опция ще гарантира, че всеки, който използва по-стар бизнес сайт, може да продължи да има достъп до него, дори когато смесеното съдържание е деактивирано за всички.
Ако имате нужда от сайт, който изисква това, не се притеснявайте: Google не е обявил дата, когато премахва опцията за зареждане на смесено съдържание в Chrome. Уеб браузърът на Google ще блокира цялото смесено съдържание по подразбиране, но ще продължи да предлага опция за активиране на смесено съдържание в обозримо бъдеще.
Какво ще кажете за другите браузъри?
Chrome не е сам. Firefox също блокира смесено съдържание като скриптове и вложени рамки и изисква да щракнете върху „Деактивирайте защитата засега”, за да го активирате отново. Очакваме Mozilla да последва стъпките на Google. Safari на Apple е агресивен към блокиране на смесено съдържание, също
И, разбира се, новият браузър Edge на Microsoft ще се основава на Chromium кода, който формира основата за Google Chrome и ще се държи като Chrome.