Google Chrome уже блокує деякі типи «змішаного вмісту» в Інтернеті. Тепер Google оголосила все стає ще серйознішим: з початку 2020 року Chrome за замовчуванням блокуватиме весь змішаний вміст, порушуючи деякі наявні веб-сторінки. Ось що це означає.
Що таке змішаний вміст?
Тут є два типи вмісту: вміст, що доставляється через безпечне, зашифроване з’єднання HTTPS, і вміст, що доставляється через незашифроване з’єднання HTTP. Коли ви використовуєте HTTPS, вміст не може бути перевірений або підроблений під час передачі, тому дуже важливі веб-сайти пропонують шифрування під час роботи з фінансовою інформацією або особистими даними.
Мережа переходить на безпечні веб-сайти HTTPS. Якщо ви підключаєтеся до старішого веб-сайту HTTP без шифрування, Google Chrome тепер попереджає вас, що ці веб-сайти «незахищені». Google тепер навіть приховує індикатор «https://» за замовчуванням, оскільки сайти за замовчуванням мають бути безпечними. А новий стандарт HTTP/3 матиме вбудоване шифрування.
Але деякі веб-сторінки не можуть бути ні повністю HTTPS, ні повністю HTTP. Деякі веб-сторінки доставляються через безпечне з’єднання HTTPS, але вони завантажують зображення, сценарії чи інші ресурси через незашифроване з’єднання HTTP. Такі веб-сторінки мають «змішаний вміст», оскільки вони не є повністю безпечними. Сама веб-сторінка не може бути підроблена, але вона може втягнути сценарій, зображення або iframe (веб-сторінку всередині «рамки» на іншій веб-сторінці), які могли бути підроблені.
Чому змішаний вміст поганий
Змішаний вміст викликає заплутаність. Ви якимось чином переглядаєте веб-сторінку, яка є одночасно безпечною і незахищеною. Наприклад, зазвичай безпечна та безпечна веб-сторінка може завантажити файл JavaScript через HTTP. Цей сценарій можна змінити — наприклад, якщо ви перебуваєте в загальнодоступній мережі Wi-Fi, яка не заслуговує довіри — щоб робити багато неприємних речей на веб-сторінці, від моніторингу ваших натискань клавіш до вставки файлу cookie для відстеження.
Хоча сценарії та iframe — «активний вміст» — є найнебезпечнішими, навіть зображення, відео та змішаний аудіо вміст можуть бути небезпечними. Наприклад, уявіть, що ви переглядаєте безпечний веб-сайт для торгівлі акціями, який отримує зображення історії акцій через HTTP. Це зображення не є безпечним — його могли підробити під час транспортування, щоб показати неправильні деталі. Крім того, оскільки він був доставлений через незашифроване з’єднання, будь-хто, хто стежить за переміщеними даними, імовірно, знає, які акції ви дивитеся.
Погана ідея змішувати такий контент. Якщо веб-сторінка використовує HTTPS, усі її ресурси також мають бути залучені через HTTPS. Це просто історична випадковість: Інтернет почався з HTTP, а веб-сайти поступово оновилися до HTTPS. При цьому вони не завжди оновлювалися, щоб використовувати ресурси HTTPS скрізь. Або вони могли залежати від стороннього ресурсу, який на той час не підтримував HTTPS.
Тепер, коли Google та інші постачальники веб-переглядачів роблять змішаний вміст складнішим і знеохочують, веб-сайтам доведеться навести порядок, щоб їхні веб-сторінки продовжували працювати за замовчуванням.
Що саме змінюється в Chrome?
Наразі Chrome блокує змішані сценарії та iframe. У Chrome 80, який буде випущено для каналів раннього випуску в січні 2020 року, Chrome блокуватиме змішані аудіо- та відеоресурси — технічно він намагатиметься завантажити їх через безпечне з’єднання HTTPS і заблокувати їх, якщо вони цього не зроблять. Змішані зображення завантажуються, але Chrome скаже, що веб-сторінка «Незахищена». У Chrome 81 Chrome також припинить завантажувати змішані зображення. Користувачі можуть дозволити завантаження змішаного вмісту, але за замовчуванням цього не буде.
Усе це є частиною підвищення безпеки Інтернету. У блозі Google сказано, що він очікує, що повідомлення «Не безпечно» «мотивує веб-сайти переносити свої зображення на HTTPS».
Як Chrome дозволить вам розблокувати змішаний вміст
Chrome уже блокує деякі типи змішаного вмісту за допомогою значка щита в адресному рядку та повідомлення «Небезпечний вміст заблоковано». Ви можете побачити, як це працює на цьому приклад сторінки зі змішаним вмістом створений Google. Наприклад, щоб розблокувати сценарій із змішаним вмістом, потрібно натиснути посилання під назвою «Завантажити небезпечні сценарії».
Якщо ви погоджуєтеся запускати змішаний вміст, веб-сторінка зміниться з «Безпечна» на «Незахищена».
Google спростить це в Chrome 79, який буде випущений десь у грудні 2019 року. Вам потрібно буде натиснути значок замка зліва від адреси сторінки, натиснути «Налаштування сайту», а потім розблокувати змішаний вміст для цього сайту.
Ця опція стає більш похованою, але суть у цьому: більшості людей ніколи не потрібно вмикати змішаний вміст для сайту. Розробники веб-сайтів повинні виправити свої веб-сайти, щоб безпечно надавати ресурси. Ця опція гарантує, що кожен, хто використовує старіший бізнес-сайт, зможе продовжувати доступ до нього, навіть якщо змішаний вміст вимкнено для всіх.
Якщо вам потрібен сайт, який вимагає цього, не хвилюйтеся: Google не оголосив дату, коли вона видаляє можливість завантажувати змішаний вміст у Chrome. Веб-браузер Google за замовчуванням блокуватиме весь змішаний вміст, але продовжить пропонувати можливість увімкнути змішаний вміст у найближчому майбутньому.
А як щодо інших браузерів?
Chrome не самотній. Firefox також блокує змішаний вміст, наприклад скрипти та iframe, і вимагає, щоб ви натиснули «Наразі відключіть захист” для повторного ввімкнення. Ми очікуємо, що Mozilla піде по стопах Google. Apple Safari агресивно налаштований блокування змішаного вмісту, також
І, звісно, новий браузер Microsoft Edge буде заснований на коді Chromium, який є основою для Google Chrome, і буде вести себе як Chrome.