Google Chrome уже блокирует некоторые типы «смешанного контента» в Интернете. Теперь Google объявил, что становится еще серьезнее: начиная с начала 2020 года Chrome по умолчанию блокирует весь смешанный контент, ломая некоторые существующие веб-страницы. Вот что это значит.
Что такое смешанный контент?
Здесь есть два типа контента: контент, доставляемый через защищенное зашифрованное соединение HTTPS, и контент, доставляемый через незашифрованное соединение HTTP. Когда вы используете HTTPS, контент не может быть взломан или подделан при передаче, поэтому очень важно, чтобы веб-сайты предлагали шифрование при работе с финансовой информацией или частными данными.
Сеть движется к безопасным HTTPS-сайтам. Если вы подключаетесь к более старому веб-сайту HTTP без шифрования, Google Chrome теперь предупреждает вас, что эти веб-сайты «небезопасны». Google теперь даже скрывает индикатор «https://» по умолчанию, поскольку сайты по умолчанию должны быть защищены. И новый стандарт HTTP/3 будет иметь встроенное шифрование.
Но некоторые веб-страницы не могут быть ни полностью HTTPS, ни полностью HTTP. Некоторые веб-страницы доставляются через защищенное соединение HTTPS, но они загружают изображения, сценарии или другие ресурсы через незашифрованное соединение HTTP. Такие веб-страницы имеют «смешанный контент», потому что они не полностью безопасны. Сама веб-страница не может быть подделана, но она может извлечь сценарий, изображение или iframe (веб-страницу внутри «рамки» на другой веб-странице), которые могли быть подделаны.
Почему смешанный контент плох
Смешанный контент сбивает с толку. Вы как-то просматриваете веб-страницу, которая является одновременно безопасной и небезопасной. Например, обычно безопасная и защищенная веб-страница может загружать файл JavaScript через HTTP. Этот сценарий можно изменить — например, если вы находитесь в общедоступной сети Wi-Fi, которая не заслуживает доверия, — чтобы делать много неприятных вещей на веб-странице, от отслеживания нажатий клавиш до вставки файла cookie для отслеживания.
Хотя сценарии и iframes — «активный контент» — являются наиболее опасными, даже изображения, видео и аудио-смешанный контент могут быть рискованными. Например, представьте, что вы просматриваете защищенный веб-сайт, посвященный торговле акциями, с помощью HTTP-изображения. Это изображение небезопасно — оно могло быть подделано при передаче, чтобы показать неверные детали. Кроме того, поскольку он был доставлен по незашифрованному соединению, любой, кто отслеживает передаваемые данные, вероятно, знает, какой запас вы просматриваете.
Это плохая идея смешивать контент таким образом. Если веб-страница использует HTTPS, все ее ресурсы также должны быть получены через HTTPS. Это просто историческая случайность — сеть началась с HTTP, а сайты постепенно обновились до HTTPS. Как они сделали, они не всегда обновлялись, чтобы использовать HTTPS-ресурсы везде. Или они могли зависеть от стороннего ресурса, который в то время не поддерживал HTTPS.
Теперь, когда Google и другие поставщики браузеров делают смешанный контент более трудным и обескураживающим, веб-сайтам придется убирать вещи, чтобы их веб-страницы продолжали работать по умолчанию.
Что именно меняется в Chrome?
В настоящее время Chrome блокирует смешанные скрипты и фреймы. В Chrome 80, который будет выпущен для ранних выпусков каналов в январе 2020 года, Chrome будет блокировать смешанные аудио и видео ресурсы — технически он будет пытаться загрузить их через безопасное соединение HTTPS и заблокировать их, если они этого не сделают. Будут загружаться смешанные изображения, но Chrome скажет, что веб-страница не защищена. В Chrome 81 Chrome также прекратит загрузку смешанных изображений. Пользователи могут разрешать загрузку смешанного контента, но по умолчанию этого не происходит.
Все это делает Интернет более безопасным. В сообщении блога Google говорится, что ожидается, что сообщение «Незащищенный» «побудит веб-сайты переносить свои изображения в HTTPS».
Как Chrome позволит вам разблокировать смешанный контент
Chrome уже блокирует некоторые типы смешанного контента с помощью значка щита в адресной строке и сообщения «Небезопасный контент заблокирован». Вы можете увидеть, как это работает, на странице примера смешанного контента, созданной Google. Например, чтобы разблокировать сценарий со смешанным содержимым, необходимо щелкнуть ссылку «Загрузка небезопасных сценариев».
Если вы согласны запускать смешанный контент, веб-страница изменится с Защищенного на Незащищенный.
Google упростит это в Chrome 79, который выйдет где-то в декабре 2019 года. Вам нужно будет щелкнуть значок замка слева от адреса страницы, нажать «Настройки сайта», а затем разблокировать смешанный контент для этого сайта.
Опция становится более скрытой, но в этом суть: большинству людей никогда не нужно включать смешанный контент для сайта. Разработчики веб-сайтов должны исправить свои веб-сайты для безопасной доставки ресурсов. Эта опция гарантирует, что любой, кто использует более старый бизнес-сайт, сможет продолжить доступ к нему, даже если смешанный контент отключен для всех.
Если вам нужен сайт, который требует этого, не беспокойтесь: Google не объявил дату, когда он удаляет возможность загружать смешанный контент в Chrome. По умолчанию веб-браузер Google будет блокировать весь смешанный контент, но в обозримом будущем он по-прежнему будет предлагать включить смешанный контент.
А как насчет других браузеров?
Хром не одинок. Firefox также блокирует смешанный контент, такой как скрипты и iframes, и требует, чтобы вы включили параметр « Отключить защиту сейчас », чтобы включить его. Мы ожидаем, что Mozilla последует по стопам Google. Safari от Apple также активно блокирует смешанный контент.
И, конечно же, новый браузер Microsoft Edge будет основан на коде Chromium, который формирует основу для Google Chrome и будет вести себя как Chrome.