Спойлер
Google продолжает продвигать HTTPS, всё больше ограничивая в возможностях сайты, у которых нет TLS-сертификатов, хотя таких сайтов осталось уже мало. С июля прошлого года Chrome начал помечать такие сайты как небезопасные. Сейчас следующий шаг — компания анонсировала ряд шагов по постепенной блокировке смешанного контента.
Смешанный контент (mixed content) — это незащищённые элементы, передаваемые по HTTP-протоколу через страницы с SSL-сертификатом. Например, изображения, аудио и видео со сторонних (незащищённых) доменов. От такой практики придётся отказаться совсем.
«За последние годы в интернете достигнут большой прогресс в переходе на HTTPS: доля защищённого трафика в Chrome превысила 90% на всех основных платформах. Теперь мы хотим убедиться, что конфигурации HTTPS через интернет являются безопасными и актуальными», — объясняется в официальном блоге компании.
Сейчас браузеры по умолчанию блокируют многие типы смешанного контента, в том числе скрипты и фреймы, но мультимедийные элементы ещё загружаются. По мнению специалистов Google, это угрожает конфиденциальности и безопасности пользователей. Поскольку такой трафик не шифруется, то он подвержен всем видам MiTM-атак. Например, злоумышленник может подделать биржевой график, чтобы ввести в заблуждение инвесторов, или поставить на страницу следящий трекер.
Загрузка смешанного контента также вводит в заблуждение с точки зрения UX-интерфейса. Получается, что страница представлена ни как безопасная, ни как небезопасная, а где-то между ними.
«Начиная с версии Chrome 79 будет происходить постепенная блокировка по умолчанию всего смешанного контента. Чтобы минимизировать ущерб, мы автоматически переведём смешанные ресурсы на https://, поэтому сайты будут продолжать автоматически работать, если их сторонние ресурсы доступны также по https://, — поясняет Google. — Пользователи смогут включить параметр, чтобы отказаться от блокировки смешанного контента на определённых веб-сайтах».
Chrome 79 выйдет на стабильном канале в декабре 2019 года. Там появится новая настройка для разблокировки смешанного контента на определённых сайтах. Этот параметр будет применяется к скриптам, фреймам и другим типам контента, которые Chrome в настоящее время блокирует по умолчанию. Доступ к настройкам сайта (Site settings) открывается по нажатию на пиктограмму замочка, как показано на скриншоте.
Смешанный контент (mixed content) — это незащищённые элементы, передаваемые по HTTP-протоколу через страницы с SSL-сертификатом. Например, изображения, аудио и видео со сторонних (незащищённых) доменов. От такой практики придётся отказаться совсем.
«За последние годы в интернете достигнут большой прогресс в переходе на HTTPS: доля защищённого трафика в Chrome превысила 90% на всех основных платформах. Теперь мы хотим убедиться, что конфигурации HTTPS через интернет являются безопасными и актуальными», — объясняется в официальном блоге компании.
Сейчас браузеры по умолчанию блокируют многие типы смешанного контента, в том числе скрипты и фреймы, но мультимедийные элементы ещё загружаются. По мнению специалистов Google, это угрожает конфиденциальности и безопасности пользователей. Поскольку такой трафик не шифруется, то он подвержен всем видам MiTM-атак. Например, злоумышленник может подделать биржевой график, чтобы ввести в заблуждение инвесторов, или поставить на страницу следящий трекер.
Загрузка смешанного контента также вводит в заблуждение с точки зрения UX-интерфейса. Получается, что страница представлена ни как безопасная, ни как небезопасная, а где-то между ними.
«Начиная с версии Chrome 79 будет происходить постепенная блокировка по умолчанию всего смешанного контента. Чтобы минимизировать ущерб, мы автоматически переведём смешанные ресурсы на https://, поэтому сайты будут продолжать автоматически работать, если их сторонние ресурсы доступны также по https://, — поясняет Google. — Пользователи смогут включить параметр, чтобы отказаться от блокировки смешанного контента на определённых веб-сайтах».
Chrome 79 выйдет на стабильном канале в декабре 2019 года. Там появится новая настройка для разблокировки смешанного контента на определённых сайтах. Этот параметр будет применяется к скриптам, фреймам и другим типам контента, которые Chrome в настоящее время блокирует по умолчанию. Доступ к настройкам сайта (Site settings) открывается по нажатию на пиктограмму замочка, как показано на скриншоте.
