La descarga de imágenes de sitios inseguros también se bloquearáGoogle continúa promocionando HTTPS, restringiendo cada vez más los sitios que no tienen certificados TLS, aunque hay pocos de esos sitios. Desde julio del año pasado, Chrome
comenzó a marcar sitios como inseguros . Ahora, el siguiente paso: la compañía anunció una serie de pasos para
bloquear gradualmente el
contenido mixto .
Contenido mixto : estos son elementos desprotegidos transmitidos a través del protocolo HTTP a través de páginas con un certificado SSL. Por ejemplo, imágenes, audio y video de dominios de terceros (inseguros). Esta práctica tendrá que ser abandonada por completo.
"En los últimos años, Internet ha avanzado mucho en el cambio a HTTPS: la proporción de tráfico seguro en Chrome ha superado el 90% en todas las plataformas principales. Ahora queremos asegurarnos de que las configuraciones HTTPS a través de Internet sean seguras y estén actualizadas ", explica el blog oficial de la compañía.
Ahora los navegadores bloquean por defecto muchos tipos de contenido mixto, incluidos scripts y marcos, pero los elementos multimedia aún se están cargando. Según Google, esto amenaza la privacidad y seguridad de los usuarios. Dado que dicho tráfico no está encriptado, es susceptible a todos los tipos de ataques MiTM. Por ejemplo, un atacante puede falsificar un gráfico de acciones para engañar a los inversores o poner un rastreador de seguimiento en una página.
La descarga de contenido mixto también es engañosa en términos de la interfaz UX. Resulta que la página no se presenta como segura ni insegura, sino en algún punto intermedio.
"A partir de Chrome 79, todo el contenido mixto se bloqueará gradualmente de forma predeterminada. Para minimizar el daño, transferiremos automáticamente recursos mixtos a https: //, por lo que los sitios continuarán funcionando automáticamente si sus recursos de terceros también están disponibles en https: //, explica Google. "Los usuarios podrán habilitar la opción de optar por no bloquear el contenido mixto en ciertos sitios web".
Chrome 79 se lanzará en un canal estable en diciembre de 2019. Habrá una nueva configuración para desbloquear contenido mixto en ciertos sitios. Esta opción se aplicará a las secuencias de comandos, marcos y otros tipos de contenido que Chrome bloquea actualmente de forma predeterminada. El acceso a la configuración del sitio (Configuración del sitio) se abre haciendo clic en el icono del candado, como se muestra en la captura de pantalla.
En la segunda etapa, desde la versión Chrome 80 (las primeras versiones aparecerán en enero de 2020), todos los recursos, excepto las imágenes que se descargan de sitios desprotegidos, se transferirán automáticamente a https: //, y Chrome los bloqueará de manera predeterminada si no pueden ser descargados por . La configuración de desbloqueo descrita anteriormente permanecerá disponible.
La única excepción serán las imágenes que el navegador no bloqueará incluso de conexiones inseguras. Pero para tales situaciones, aparece la advertencia "No seguro" en la interfaz, como en la captura de pantalla.
En Chrome 81 (las primeras versiones aparecerán en febrero de 2020), las imágenes también se transferirán automáticamente a https: //, y Chrome las bloqueará de forma predeterminada si no se cargan a través de HTTPS.
Google recomienda que los desarrolladores web auditen sus recursos utilizando la herramienta
Lighthouse o utilicen complementos y utilidades de terceros. Por ejemplo, existe un
complemento para WordPress y una
utilidad de Cloudflare .
Consulte también la
"Guía completa para la transición a HTTPS" en Habré.
Los cambios en Chrome pronto serán repetidos por otros navegadores. Google generalmente no toma tales pasos de forma aislada. Todo sucede en concierto con colegas de los equipos de desarrollo de Firefox, Edge y Safari. Por lo tanto, en 2020, no se descargará contenido mixto en ningún lado.
