Das Herunterladen von Bildern von unsicheren Websites wird ebenfalls blockiertGoogle fördert weiterhin HTTPS und schränkt Websites ohne TLS-Zertifikate zunehmend ein, obwohl es nur wenige solcher Websites gibt. Seit Juli letzten Jahres hat Chrome damit
begonnen, Websites als unsicher zu kennzeichnen . Jetzt der nächste Schritt - das Unternehmen kündigte eine Reihe von Schritten an,
um gemischte Inhalte schrittweise zu
blockieren .
Gemischter Inhalt - Dies sind ungeschützte Elemente, die über das HTTP-Protokoll über Seiten mit einem SSL-Zertifikat übertragen werden. Zum Beispiel Bilder, Audio und Video von (unsicheren) Domänen von Drittanbietern. Diese Praxis muss ganz aufgegeben werden.
„In den letzten Jahren hat das Internet große Fortschritte bei der Umstellung auf HTTPS erzielt: Der Anteil des sicheren Datenverkehrs in Chrome hat auf allen wichtigen Plattformen 90% überschritten. Jetzt möchten wir sicherstellen, dass HTTPS-Konfigurationen über das Internet sicher und aktuell sind “, erklärt der offizielle Blog des Unternehmens.
Jetzt blockieren Browser standardmäßig viele Arten von gemischten Inhalten, einschließlich Skripten und Frames, aber Multimedia-Elemente werden immer noch geladen. Laut Google gefährdet dies die Privatsphäre und Sicherheit der Nutzer. Da dieser Datenverkehr nicht verschlüsselt ist, ist er für alle Arten von MiTM-Angriffen anfällig. Ein Angreifer kann beispielsweise ein Aktienchart fälschen, um Investoren irrezuführen, oder einen Tracking-Tracker auf eine Seite setzen.
Das Herunterladen gemischter Inhalte ist auch in Bezug auf die UX-Oberfläche irreführend. Es stellt sich heraus, dass die Seite weder als sicher noch als unsicher dargestellt wird, sondern irgendwo dazwischen.
„Ab Chrome 79 werden alle gemischten Inhalte standardmäßig nach und nach blockiert. Um den Schaden zu minimieren, werden gemischte Ressourcen automatisch an https: // übertragen, sodass Websites weiterhin automatisch funktionieren, wenn ihre Ressourcen von Drittanbietern auch unter https: // verfügbar sind, erklärt Google. "Benutzer können die Option aktivieren, gemischte Inhalte auf bestimmten Websites nicht zu blockieren."
Chrome 79 wird im Dezember 2019 auf einem stabilen Kanal veröffentlicht. Es wird eine neue Einstellung geben, um gemischte Inhalte auf bestimmten Websites freizuschalten. Diese Option gilt für Skripts, Frames und andere Arten von Inhalten, die Chrome derzeit standardmäßig blockiert. Der Zugriff auf die Site-Einstellungen (Site-Einstellungen) wird durch Klicken auf das Schlosssymbol geöffnet (siehe Abbildung).
In der zweiten Phase werden ab Version Chrome 80 (frühere Versionen werden im Januar 2020 veröffentlicht) alle Ressourcen außer Bildern, die von ungeschützten Websites heruntergeladen wurden, automatisch auf https: // übertragen, und Chrome blockiert sie standardmäßig, wenn sie nicht von heruntergeladen werden können . Die oben beschriebene Entsperreinstellung bleibt verfügbar.
Die einzige Ausnahme sind Bilder, die der Browser auch bei unsicheren Verbindungen nicht blockiert. In solchen Situationen wird in der Benutzeroberfläche wie im Screenshot die Warnung „Nicht sicher“ angezeigt.
In Chrome 81 (frühere Versionen erscheinen im Februar 2020) werden Bilder auch automatisch an https: // übertragen, und Chrome blockiert sie standardmäßig, wenn sie nicht über HTTPS heruntergeladen werden.
Google empfiehlt Webentwicklern, ihre Ressourcen mit dem
Lighthouse- Tool zu überprüfen oder Plugins und Dienstprogramme von Drittanbietern zu verwenden. Zum Beispiel gibt es ein solches
Plugin für WordPress und ein
Dienstprogramm von Cloudflare .
Siehe auch die
"Vollständige Anleitung zum Übergang zu HTTPS" auf Habré.
Änderungen in Chrome werden in Kürze von anderen Browsern wiederholt. Google unternimmt solche Schritte normalerweise nicht isoliert. Alles geschieht in Abstimmung mit Kollegen aus den Entwicklungsteams Firefox, Edge und Safari. Daher werden im Jahr 2020 nirgendwo gemischte Inhalte heruntergeladen.
