Google продолжает предпринимать шаги для вытеснения протокола HTTP в пользу более защищеного HTTPS. Еще несколько лет назад Google начал учитывать поддержку HTTPS при ранжировании результатов поиска с индексацией HTTPS-страниц по умолчанию. Затем в фирменном браузере Chrome (с версии 68) страницы, использующие протокол HTTP, начали помечаться небезопасными. Теперь же Google готова перейти к следующему этапу плана забвения HTTP — включить в Chrome полную блокировку «смешанного» контента.
Под «смешанным» контентом подразумеваются отдельные элементы на HTTPS-страницах, которые небезопасно подгружаются посредством соединения HTTP.
Как рассказывается в официальном блоге Chromium, браузеры по умолчанию блокируют многие типы смешанного контента вроде скриптов и фреймов iframe, но изображения, аудио и видео по-прежнему могут загружаться, что представляет угрозу конфиденциальности и безопасности пользователей. Например, злоумышленник может изменить смешанное изображение биржевого графика, чтобы ввести инвесторов в заблуждение, или вставить отслеживающий файл cookie в смешанный контент. Также загрузка смешанного контента вызывает путаницу в безопасности — в таком случае страница не безопасная и не небезопасная, а где-то посередине. Google намерена исправить ситуацию: Chrome по умолчанию будет блокировать весь смешанный контент. Сразу оговорим, что блокировка будет внедрятся постепенно.
В версии Chrome 79, релиз которой намечен на декабрь этого года, появится возможность снять блокировку смешанного контента для конкретного сайта. Этот параметр будет применяться к смешанным скриптам, фреймам iframe и другим типам содержимого, которое Chrome уже сейчас блокирует по умолчанию. Снять блокировку можно будет, нажав пиктограмму с замком и выбрать соответствущую опцию в «Настройки сайта» (изображение ниже).
Chrome 80 (в ранних каналах сборка выйдет в январе 2020 года) по умолчанию будет блокировать звук и видео, которые не смогут загружаться через HTTPS. Снять блокировку можно будет способом описанным выше. Также в Chrome 80 при загрузке смешанных изображений в строке Omnibox будет отображаться предупреждение о потенциальной опасности страницы. Оно будет выглядеть вот так:
Это должно побудило разработчиков обновить сертификаты SSL.
Кстати, Google говорит о достижении большого прогресса в вопросе перехода на HTTPS. По словам компании, пользователи Chrome сейчас тратят более 90% времени на просмотр HTTPS-сайтой на всех основных платформах.
Наконец, в Chrome 81 по умолчанию будут блокироваться и изображения, загружаемые через HTTP. Выпуск Chrome 81 в ранних ветках запланирован на февраль 2020 года.
Чтобы избежать блокировок, Google советует разработчикам сайтов как можно быстрее полностью перейти на HTTPS. В блоге компания приводит несколько ресурсов, которые могут помочь в этом вопросе.
Источник: blog.chromium
- HTTPS не является отдельным протоколом. Это обычный HTTP, дополненный механизмами шифрования SSL и TLS в целях повышения безопасности.
- HTTPS защищает канал передачи данных между браузером и веб-сайтом, предотвращая разного рода атаки — от снифферских атак и атак типа man-in-the-middle.