Google ha annunciato che dalle prossime release di Chrome nelle pagine in HTTPS non verranno più caricati contenuti provenienti da un link non sicuro in HTTP.
L’obbiettivo degli ingegneri di Google è assicurare che durante la navigazione vengano caricati unicamente contenuti sicuri.
A confermare questa novità è stata Emily Stark, componente del Chrome security team, sul blog del’azienda:
Oggi annunciamo che Chrome inizierà gradualmente a garantire che le pagine HTTPS possano caricare solo subresources “https://” sicure. Inizieremo quindi a a bloccare i contenuti misti (subresources HTTP non sicure in pagine HTTPS) come impostazione predefinita. Questa modifica migliorerà la privacy e la sicurezza degli utenti sul Web.
Dopo aver forzato all’utilizzo del protocollo sicuro in HTTPS, il team di Mountain View si sta focalizzando ora sulle configurazioni “mixed content” poco sicure.
I Mixed content sono dei contenuti secondari delle pagine HTTPS, come ad esempio le immagini o altri contenuti multimediali, che sono stati caricati tramite connessioni HTTP. Di base Chrome blocca già tutti gli script e gli iframe che tentanto di caricarsi tramite tale protocollo, questo blocco verrà quindi esteso alle immagini e ai video.
I mixed content espongono l’utente a rischi non indifferenti, un utente malintenzionato potrebbe alterare una foto o un grafico caricato tramite HTTP e indurre gli utilizzatori a scaricare codice malevolo o degli script per il tracking.
Oltre al blocco di tali contenuti gli sviluppatori di Chrome hanno previsto anche degli avvisi a schermo che andranno a segnalare una pagina web come non completamente sicura.
Timeline
Chrome 79 data di rilascio a dicembre 2019, introdurremo una nuova impostazione per sbloccare contenuti misti su siti specifici. Questa impostazione si applica a script misti, iframe e altri tipi di contenuti che Chrome attualmente blocca per impostazione predefinita. Gli utenti possono attivare questa impostazione facendo clic sull’icona a forma di lucchetto su qualsiasi pagina https: // e facendo clic su Impostazioni sito. Questo sostituirà l’icona dello scudo che appare sul lato destro della omnibox per sbloccare contenuti misti nelle versioni precedenti di Chrome desktop.
Chrome 80 le risorse audio e video miste verranno aggiornate automaticamente a https: // e Chrome le bloccherà per impostazione predefinita se non riescono a caricare su https: //. Chrome 80 verrà rilasciato ai canali a rilascio anticipato nel gennaio 2020. Gli utenti possono sbloccare le risorse audio e video interessate con l’impostazione sopra descritta.
Anche in Chrome 80 , le immagini miste potranno ancora essere caricate, ma mostreranno un chip “Not Secure” nella omnibox. Prevediamo che questa è un’interfaccia utente di sicurezza più chiara per gli utenti e che motiverà i siti Web a migrare le loro immagini su HTTPS. Gli sviluppatori possono utilizzare le direttive sulle norme sulla sicurezza dei contenuti di aggiornamento non sicuro o per bloccare tutti i contenuti misti per evitare questo avviso.
In Chrome 81 , le immagini miste verranno automaticamente aggiornate in https: // e Chrome le bloccherà per impostazione predefinita se non riescono a caricare su https: //. Chrome 81 sarà rilasciato ai canali a rilascio anticipato nel febbraio 2020.
Per ulteriori informazioni rimandiamo all’articolo dal BLOG GOOLGE
