Google Chrome blocca già alcuni tipi di “contenuto misto” sul Web. Adesso, Google annunciato sta diventando ancora più serio: a partire dall’inizio del 2020, Chrome bloccherà tutti i contenuti misti per impostazione predefinita, interrompendo alcune pagine web esistenti. Ecco cosa significa.
Sommario:
Che cos’è il contenuto misto?
Ci sono due tipi di contenuto qui: contenuto fornito tramite una connessione HTTPS protetta e crittografata e contenuto fornito tramite una connessione HTTP non crittografata. Quando utilizzi HTTPS, i contenuti non possono essere ficcati o manomessi durante il transito, motivo per cui i siti Web critici offrono la crittografia quando si tratta di informazioni finanziarie o dati privati.
Il Web si sta spostando per proteggere i siti Web HTTPS. Se ti connetti a un vecchio sito web HTTP senza crittografia, Google Chrome ora ti avvisa che questi siti web “non sono sicuri”. Google ora nasconde anche l’indicatore “https: //” per impostazione predefinita, poiché i siti dovrebbero essere protetti per impostazione predefinita. E il nuovo standard HTTP / 3 avrà la crittografia incorporata.
Ma alcune pagine web non possono essere né interamente HTTPS né completamente HTTP. Alcune pagine Web vengono fornite tramite una connessione HTTPS sicura, ma inseriscono immagini, script o altre risorse tramite una connessione HTTP non crittografata. Tali pagine web hanno “contenuto misto” perché non sono completamente sicure. La pagina Web stessa non può essere manomessa, ma potrebbe inserire uno script, un’immagine o un iframe (una pagina Web all’interno di un “frame” su un’altra pagina Web) che potrebbe essere stato manomesso.
Perché il contenuto misto è dannoso
Il contenuto misto crea confusione. In qualche modo stai visualizzando una pagina web che è sia sicura che non protetta. Ad esempio, una pagina Web solitamente sicura e protetta potrebbe inserire un file JavaScript tramite HTTP. Quello script potrebbe essere modificato, ad esempio, se ti trovi su una rete Wi-Fi pubblica non affidabile, per fare molte cose brutte sulla pagina web, dal monitoraggio delle tue battiture all’inserimento di un cookie di tracciamento.
Sebbene gli script e gli iframe – “contenuto attivo” – siano i più pericolosi, anche le immagini, i video e i contenuti con audio misto potrebbero essere rischiosi. Ad esempio, immagina di visualizzare un sito Web di trading azionario sicuro che richiama un’immagine della cronologia di un’azione tramite HTTP. Quell’immagine non è sicura: potrebbe essere stata manomessa durante il trasporto per mostrare dettagli errati. Inoltre, poiché è stato consegnato tramite una connessione non crittografata, chiunque abbia spiato i dati in transito probabilmente sa quale stock stai guardando.
È una cattiva idea mescolare contenuti come questo. Se una pagina web utilizza HTTPS, anche tutte le sue risorse dovrebbero essere inserite tramite HTTPS. È solo un incidente storico: il Web è iniziato con HTTP e i siti Web sono stati gradualmente aggiornati a HTTPS. Come hanno fatto, non si sono sempre aggiornati per utilizzare le risorse HTTPS ovunque. Oppure potrebbero dipendere da una risorsa di terze parti che non supportava HTTPS in quel momento.
Ora, con Google e altri fornitori di browser che rendono i contenuti misti più difficili e scoraggianti, i siti web dovranno pulire le cose in modo che le loro pagine web continuino a funzionare per impostazione predefinita.
Cosa sta cambiando esattamente in Chrome?
Chrome attualmente blocca script misti e iframe. In Chrome 80, che verrà rilasciato nei canali di rilascio anticipato a gennaio 2020, Chrome bloccherà le risorse audio e video miste: tecnicamente, proverà invece a caricarle tramite una connessione HTTPS sicura e a bloccarle se non lo fanno. Verranno caricate immagini miste, ma Chrome dirà che la pagina web è “Non protetta”. In Chrome 81, Chrome interromperà anche il caricamento di immagini miste. Gli utenti possono consentire il caricamento del contenuto misto, ma non per impostazione predefinita.
Fa tutto parte del rendere il Web più sicuro. Il post sul blog di Google afferma che si aspetta che il messaggio “Non sicuro” “motiverà i siti Web a migrare le proprie immagini su HTTPS”.
In che modo Chrome ti consentirà di sbloccare contenuti misti
Chrome blocca già alcuni tipi di contenuto misto con un’icona a forma di scudo nella barra degli indirizzi e un messaggio “Contenuto non protetto bloccato”. Puoi vedere come funziona su questo pagina di esempio di contenuto misto creato da Google. Ad esempio, per sbloccare uno script di contenuto misto, è necessario fare clic su un collegamento denominato “Carica script non sicuri”.
Se accetti di eseguire il contenuto misto, la pagina web cambia da Protetto a Non sicuro.
Google lo semplificherà in Chrome 79, che verrà rilasciato a dicembre 2019. Dovrai fare clic sull’icona del lucchetto a sinistra dell’indirizzo della pagina, fare clic su “Impostazioni sito” e quindi sbloccare i contenuti misti per quel sito.
L’opzione diventa più sepolta, ma questo è il punto: la maggior parte delle persone non dovrebbe mai aver bisogno di abilitare contenuti misti per un sito. Gli sviluppatori di siti Web devono correggere i propri siti Web per fornire risorse in modo sicuro. Questa opzione garantirà che chiunque utilizzi un vecchio sito aziendale possa continuare ad accedervi, anche se il contenuto misto è disabilitato per tutti.
Se hai bisogno di un sito che lo richieda, non preoccuparti: Google non ha annunciato una data in cui rimuove l’opzione per caricare contenuti misti in Chrome. Il browser web di Google bloccherà tutti i contenuti misti per impostazione predefinita, ma continuerà a offrire un’opzione per abilitare i contenuti misti per il prossimo futuro.
E gli altri browser?
Chrome non è solo. Firefox blocca anche i contenuti misti come script e iframe e richiede di fare clic su “Disattiva la protezione per ora“Per riattivarlo. Ci aspettiamo che Mozilla segua le orme di Google. Safari di Apple è aggressivo blocco dei contenuti misti, pure.
E, naturalmente, il nuovo browser Edge di Microsoft sarà basato sul codice Chromium che costituisce la base per Google Chrome e si comporterà come Chrome.