O download de imagens de sites não seguros também será bloqueadoO Google continua promovendo HTTPS, restringindo cada vez mais sites que não possuem certificados TLS, embora existam poucos sites. Desde julho do ano passado, o Chrome
começou a sinalizar sites como inseguros . Agora, o próximo passo - a empresa anunciou uma série de etapas para
bloquear gradualmente o
conteúdo misto .
Conteúdo misto - esses são elementos não protegidos transmitidos pelo protocolo HTTP através de páginas com um certificado SSL. Por exemplo, imagens, áudio e vídeo de domínios de terceiros (inseguros). Essa prática terá que ser abandonada por completo.
“Nos últimos anos, a Internet fez grandes progressos na mudança para HTTPS: a parcela de tráfego seguro no Chrome excedeu 90% em todas as principais plataformas. Agora, queremos garantir que as configurações de HTTPS pela Internet sejam seguras e atualizadas ”, explica o blog oficial da empresa.
Agora, por padrão, os navegadores bloqueiam muitos tipos de conteúdo misto, incluindo scripts e quadros, mas os elementos multimídia ainda estão sendo carregados. Segundo o Google, isso ameaça a privacidade e a segurança dos usuários. Como esse tráfego não é criptografado, é suscetível a todos os tipos de ataques MiTM. Por exemplo, um invasor pode falsificar um gráfico de ações para enganar os investidores ou colocar um rastreador de rastreamento em uma página.
O download de conteúdo misto também é enganoso em termos da interface UX. Acontece que a página é apresentada nem como segura nem insegura, mas em algum lugar no meio.
“A partir do Chrome 79, todo o conteúdo misto será bloqueado gradualmente por padrão. Para minimizar os danos, transferiremos automaticamente recursos mistos para https: //, para que os sites continuem funcionando automaticamente se seus recursos de terceiros também estiverem disponíveis em https: //, explica o Google. "Os usuários poderão habilitar a opção de desativar o bloqueio de conteúdo misto em determinados sites".
O Chrome 79 será lançado em um canal estável em dezembro de 2019. Haverá uma nova configuração para desbloquear conteúdo misto em determinados sites. Essa opção se aplica a scripts, quadros e outros tipos de conteúdo que o Chrome atualmente bloqueia por padrão. O acesso às configurações do site (configurações do site) é aberto clicando no ícone de cadeado, conforme mostrado na captura de tela.
No segundo estágio, a partir da versão Chrome 80 (as versões anteriores aparecerão em janeiro de 2020), todos os recursos, exceto as imagens baixadas de sites desprotegidos, serão automaticamente transferidos para https: //, e o Chrome os bloqueará por padrão se não puderem ser baixados por . A configuração de desbloqueio descrita acima permanecerá disponível.
A única exceção serão as imagens que o navegador não bloqueará, mesmo de conexões inseguras. Mas, nessas situações, o aviso "Não é seguro" aparece na interface, como na captura de tela.
No Chrome 81 (as versões anteriores aparecerão em fevereiro de 2020), as imagens também serão transferidas automaticamente para https: //, e o Chrome as bloqueará por padrão se não forem baixadas via HTTPS.
O Google recomenda que os desenvolvedores da Web auditem seus recursos usando a ferramenta
Lighthouse ou usem plug-ins e utilitários de terceiros. Por exemplo, existe um
plugin para WordPress e um
utilitário da Cloudflare .
Veja também o
"Guia completo da transição para HTTPS" em Habré.
Em breve, as alterações no Chrome serão repetidas por outros navegadores. O Google geralmente não toma essas medidas isoladamente. Tudo acontece em conjunto com colegas das equipes de desenvolvimento do Firefox, Edge e Safari. Portanto, em 2020, nenhum conteúdo misto será baixado em qualquer lugar.
