Google был большим сторонником HTTPS на протяжении последнего десятилетия и успешно продвигал его внедрение. Теперь Chrome внедряет дальнейшие улучшения безопасности, по умолчанию блокируя смешанный контент — небезопасные подресурсы http:// на страницах https://.
По данным Google, «сейчас пользователи Chrome проводят более 90% времени просмотра на HTTPS на всех основных платформах». Однако проблема обеспечения безопасности всех HTTPS-конфигураций все еще существует, поскольку некоторые защищенные страницы по-прежнему загружают подресурсы через HTTP.
Смешанный контент, который все еще разрешен, включает изображения, аудио и видео, хотя браузеры по умолчанию блокируют скрипты и iframe.
Например, злоумышленник может подделать смешанное изображение биржевого графика, чтобы ввести инвесторов в заблуждение, или внедрить отслеживающий cookie при загрузке смешанного ресурса. Загрузка смешанного контента также приводит к запутанному пользовательскому интерфейсу безопасности браузера, где страница представляется ни как безопасная, ни как небезопасная, а где-то посередине.
Начиная с Chrome 79, который в настоящее время находится в бета-канале, браузер начнет блокировать весь смешанный контент по умолчанию. Google принимает постепенный подход, чтобы минимизировать любые проблемы, полный график приведен ниже. Процесс начинается в декабре и должен завершиться с выходом Chrome 81 в следующем году.
- В Chrome 79, который выйдет в стабильный канал в декабре 2019 года, мы представим новую настройку для разблокировки смешанного контента на определенных сайтах. Эта настройка будет применяться к смешанным скриптам, iframe и другим типам контента, которые Chrome в настоящее время блокирует по умолчанию. Пользователи могут изменить эту настройку, щелкнув значок замка на любой странице https:// и выбрав «Настройки сайта». Это заменит значок щита, который появляется справа от адресной строки для разблокировки смешанного контента в предыдущих версиях Chrome для настольных компьютеров.
- В Chrome 80 смешанные аудио- и видеоресурсы будут автоматически обновляться до https://, и Chrome будет блокировать их по умолчанию, если они не смогут загрузиться через https://. Chrome 80 выйдет в ранние каналы выпуска в январе 2020 года. Пользователи смогут разблокировать затронутые аудио- и видеоресурсы с помощью описанной выше настройки.
- Также в Chrome 80 смешанные изображения по-прежнему будут разрешены к загрузке, но они приведут к отображению в Chrome «Небезопасно» в адресной строке. Мы ожидаем, что это более четкий интерфейс безопасности для пользователей, и он будет мотивировать веб-сайты переносить свои изображения на HTTPS. Разработчики могут использовать директивы Content Security Policy upgrade-insecure-requests или block-all-mixed-content, чтобы избежать этого предупреждения.
- В Chrome 81 смешанные изображения будут автоматически обновляться до https://, и Chrome будет блокировать их по умолчанию, если они не смогут загрузиться через https://. Chrome 81 выйдет в ранние каналы выпуска в феврале 2020 года.