Le téléchargement d'images à partir de sites non sécurisés sera également bloquéGoogle continue de promouvoir HTTPS, restreignant de plus en plus les sites qui ne disposent pas de certificats TLS, bien qu'il existe peu de ces sites. Depuis juillet de l'année dernière, Chrome a
commencé à signaler des sites comme non sécurisés . Maintenant, la prochaine étape - la société a annoncé une série d'étapes pour
bloquer progressivement le
contenu mixte .
Contenu mixte - ce sont des éléments non protégés transmis via le protocole HTTP via des pages avec un certificat SSL. Par exemple, des images, du son et de la vidéo provenant de domaines tiers (non sécurisés). Cette pratique devra être complètement abandonnée.
«Ces dernières années, Internet a fait de grands progrès dans le passage au HTTPS: la part du trafic sécurisé dans Chrome a dépassé 90% sur toutes les principales plateformes. Nous voulons maintenant nous assurer que les configurations HTTPS sur Internet sont sûres et à jour », explique le blog officiel de la société.
Désormais, les navigateurs bloquent par défaut de nombreux types de contenus mixtes, y compris les scripts et les cadres, mais les éléments multimédias sont toujours en cours de chargement. Selon Google, cela menace la confidentialité et la sécurité des utilisateurs. Étant donné que ce trafic n'est pas chiffré, il est sensible à tous les types d'attaques MiTM. Par exemple, un attaquant peut truquer un graphique boursier pour tromper les investisseurs, ou mettre un tracker de suivi sur une page.
Le téléchargement de contenu mixte est également trompeur en termes d'interface UX. Il s'avère que la page n'est présentée ni comme sûre ni comme dangereuse, mais quelque part entre les deux.
«À partir de Chrome 79, tout le contenu mixte se bloquera progressivement par défaut. Pour minimiser les dommages, nous transférerons automatiquement les ressources mixtes vers https: //, afin que les sites continuent de fonctionner automatiquement si leurs ressources tierces sont également disponibles sur https: //, explique Google. "Les utilisateurs pourront activer l'option de désactivation du blocage du contenu mixte sur certains sites Web."
Chrome 79 sortira sur un canal stable en décembre 2019. Il y aura un nouveau paramètre pour déverrouiller le contenu mixte sur certains sites. Cette option s'appliquera aux scripts, cadres et autres types de contenu que Chrome bloque actuellement par défaut. L'accès aux paramètres du site (Paramètres du site) est ouvert en cliquant sur l'icône de verrouillage, comme indiqué dans la capture d'écran.
Dans la deuxième étape, à partir de la version de Chrome 80 (les premières versions apparaîtront en janvier 2020), toutes les ressources, à l'exception des images téléchargées à partir de sites non sécurisés, seront automatiquement transférées vers https: //, et Chrome les bloquera par défaut si elles ne peuvent pas se charger via . Le paramètre de déverrouillage décrit ci-dessus restera disponible.
La seule exception sera les images que le navigateur ne bloquera pas, même à partir de connexions non sécurisées. Mais pour de telles situations, l'avertissement «Not Safe» apparaît dans l'interface, comme dans la capture d'écran.
Dans Chrome 81 (les premières versions apparaîtront en février 2020), les images seront également transférées automatiquement vers https: //, et Chrome les bloquera par défaut si elles ne sont pas téléchargées via HTTPS.
Google recommande aux développeurs Web d'auditer leurs ressources à l'aide de l'outil
Lighthouse ou d'utiliser des plugins et des utilitaires tiers. Par exemple, il existe un tel
plugin pour WordPress et un
utilitaire de Cloudflare .
Voir aussi le
"Guide complet de la transition vers HTTPS" sur Habré.
Les changements dans Chrome seront bientôt répétés par d'autres navigateurs. Google ne prend généralement pas ces mesures isolément. Tout se passe de concert avec des collègues des équipes de développement de Firefox, Edge et Safari. Par conséquent, en 2020, aucun contenu mixte ne sera téléchargé nulle part.
