Mengunduh gambar dari situs yang tidak aman juga akan diblokirGoogle terus mempromosikan HTTPS, semakin membatasi situs yang tidak memiliki sertifikat TLS, meskipun ada beberapa situs semacam itu. Sejak Juli tahun lalu, Chrome
mulai menandai situs sebagai tidak aman . Sekarang langkah selanjutnya - perusahaan mengumumkan serangkaian langkah untuk secara bertahap
memblokir konten campuran .
Konten campuran - ini adalah elemen yang tidak dilindungi yang dikirimkan melalui protokol HTTP melalui halaman dengan sertifikat SSL. Misalnya, gambar, audio, dan video dari domain pihak ketiga (tidak aman). Praktik ini harus ditinggalkan sama sekali.
“Dalam beberapa tahun terakhir, Internet telah membuat kemajuan besar dalam beralih ke HTTPS: pangsa lalu lintas aman di Chrome telah melampaui 90% di semua platform utama. Sekarang kami ingin memastikan bahwa konfigurasi HTTPS melalui Internet aman dan mutakhir, "jelas blog resmi perusahaan.
Sekarang browser secara default memblokir banyak jenis konten campuran, termasuk skrip dan bingkai, tetapi elemen multimedia masih memuat. Menurut Google, ini mengancam privasi dan keamanan pengguna. Karena lalu lintas semacam itu tidak dienkripsi, ia rentan terhadap semua jenis serangan MiTM. Misalnya, penyerang dapat memalsukan grafik saham untuk menyesatkan investor, atau menempatkan pelacak pelacakan pada halaman.
Mengunduh konten campuran juga menyesatkan dalam hal antarmuka UX. Ternyata halaman itu disajikan bukan sebagai aman atau tidak aman, tetapi di suatu tempat di antara keduanya.
“Dimulai dengan Chrome 79, semua konten campuran secara bertahap akan diblokir secara default. Untuk meminimalkan kerusakan, kami akan secara otomatis mentransfer sumber daya campuran ke https: //, jadi situs akan terus bekerja secara otomatis jika sumber daya pihak ketiga mereka juga tersedia di https: //, Google menjelaskan. "Pengguna akan dapat mengaktifkan opsi untuk keluar dari pemblokiran konten campuran di situs web tertentu."
Chrome 79 akan dirilis pada saluran yang stabil pada Desember 2019. Akan ada pengaturan baru untuk membuka kunci konten campuran di situs tertentu. Opsi ini akan berlaku untuk skrip, bingkai, dan jenis konten lain yang saat ini diblokir oleh Chrome secara default. Akses ke pengaturan situs (Pengaturan situs) dibuka dengan mengklik ikon kunci, seperti yang ditunjukkan pada tangkapan layar.
Pada tahap kedua, dari versi Chrome 80 (versi awal akan muncul pada Januari 2020), semua sumber daya, kecuali gambar yang diunduh dari situs yang tidak dilindungi, akan ditransfer secara otomatis ke https: //, dan Chrome akan memblokirnya secara default jika tidak dapat diunduh oleh . Pengaturan buka kunci yang dijelaskan di atas akan tetap tersedia.
Satu-satunya pengecualian adalah gambar yang tidak akan diblokir oleh browser bahkan dari koneksi yang tidak aman. Tetapi untuk situasi seperti itu, peringatan "Tidak Aman" muncul di antarmuka, seperti pada tangkapan layar.
Di Chrome 81 (versi awal akan muncul pada Februari 2020), gambar juga akan secara otomatis ditransfer ke https: //, dan Chrome akan memblokirnya secara default jika tidak diunduh melalui HTTPS.
Google merekomendasikan agar pengembang web mengaudit sumber daya mereka menggunakan alat
Mercusuar atau menggunakan plugin dan utilitas pihak ketiga. Misalnya, ada
plugin untuk WordPress dan
utilitas dari Cloudflare .
Lihat juga
"Panduan lengkap untuk transisi ke HTTPS" di Habré.
Perubahan Chrome akan segera diulang oleh browser lain. Google biasanya tidak mengambil langkah-langkah seperti itu secara terpisah. Semuanya terjadi bersamaan dengan rekan-rekan dari tim pengembangan Firefox, Edge, dan Safari. Karenanya, pada tahun 2020, tidak ada konten campuran yang akan diunduh di mana pun.
