Что такое «смешанный контент» и почему Chrome его блокирует

0
6011
просмотров
Что такое «смешанный контент» и почему Chrome его блокирует

Google Chrome уже блокирует некоторые типы «смешанного контента» в Интернете. Теперь Google объявил, что становится еще серьезнее: начиная с начала 2020 года Chrome по умолчанию будет блокировать весь смешанный контент, ломая некоторые существующие веб-страницы. Вот что это значит.

Что такое смешанный контент

Здесь есть два типа контента: контент, доставляемый через защищенное зашифрованное соединение HTTPS, и контент, доставляемый через незашифрованное соединение HTTP. Когда Вы используете HTTPS, контент не может быть взломан или подделан при передаче, поэтому критически важные веб-сайты предлагают шифрование при работе с финансовой информацией или частными данными.

Интернет движется к безопасным HTTPS-сайтам. Если Вы подключаетесь к более старому веб-сайту HTTP без шифрования, Google Chrome теперь предупреждает Вас, что эти веб-сайты «небезопасны». Google теперь даже скрывает индикатор «https://» по умолчанию, поскольку сайты по умолчанию должны быть защищены. И новый стандарт HTTP/3 будет иметь встроенное шифрование.

Но некоторые веб-страницы не могут быть ни полностью HTTPS, ни полностью HTTP. Некоторые веб-страницы доставляются через защищенное соединение HTTPS, но они загружают изображения, скрипты или другие ресурсы через незашифрованное соединение HTTP. Такие веб-страницы имеют «смешанный контент», потому что они не полностью защищены. Сама веб-страница не может быть подделана, но она может получить скрипт, изображение или iframe (веб-страницу внутри «рамки» на другой веб-странице), которые могли быть подделаны.

Почему смешанный контент это плохо

Смешанный контент сбивает с толку. Вы как-то просматриваете веб-страницу, которая является одновременно безопасной и небезопасной. Например, обычно безопасная и защищенная веб-страница может загружать файл JavaScript через HTTP. Этот скрипт можно изменить — например, если Вы находитесь в общедоступной сети Wi-Fi, которая не заслуживает доверия, — чтобы делать много неприятных вещей на веб-странице, от отслеживания нажатий клавиш до вставки файла cookie для отслеживания.

Что такое «смешанный контент» и почему Chrome его блокирует

Хотя скрипты и iframes — «активный контент» — являются наиболее опасными, даже изображения, видео и аудио-смешанный контент могут быть рискованными. Например, представьте, что Вы просматриваете защищенный веб-сайт, посвященный торговле акциями, который отображает изображение истории акции через HTTP. Это изображение не является безопасным — оно могло быть подделано при передаче, чтобы показать неверные детали. Кроме того, поскольку он был доставлен по незашифрованному соединению, любой, кто отслеживает передаваемые данные, вероятно, знает, что Вы просматриваете.

Читайте также  Как включить новое меню расширений Google Chrome

Это плохая идея смешивать контент таким образом. Если веб-страница использует HTTPS, все ее ресурсы также должны быть получены через HTTPS. Это просто историческая случайность — сеть началась с HTTP, а сайты постепенно обновились до HTTPS. Но обновились не все сайты или они могут зависеть от стороннего ресурса, который не поддерживает HTTPS.

Теперь, когда Google и другие разработчики браузеров делают смешанный контент более трудным и обескураживающим, веб-сайтам придется убирать некоторые вещи, чтобы их веб-страницы продолжали работать.

Что именно меняется в Chrome

В настоящее время Chrome блокирует смешанные скрипты и фреймы. В Chrome 80, который будет выпущен для ранних каналов выпусков в январе 2020 года, Chrome будет блокировать смешанные аудио и видео ресурсы — технически он будет пытаться загрузить их через безопасное соединение HTTPS и заблокирует их, если не получится. Будут загружаться смешанные изображения, но Chrome скажет, что веб-страница не защищена. В Chrome 81 Chrome также прекратит загрузку смешанных изображений. Пользователи могут разрешить загрузку смешанного контента, но по умолчанию она не будет выполняться.

Все это делает Интернет более безопасным. В сообщении Google говорится, что сообщение «Незащищенный» «мотивирует веб-сайты переносить свои изображения в HTTPS».

Как Chrome позволит Вам разблокировать смешанный контент

Chrome уже блокирует некоторые типы смешанного контента с помощью значка щита в адресной строке и сообщения «Небезопасный контент заблокирован». Вы можете увидеть, как это работает, на странице примера смешанного контента, созданной Google. Например, чтобы разблокировать сценарий со смешанным содержимым, необходимо щелкнуть ссылку «Загрузить небезопасные скрипты».

Что такое «смешанный контент» и почему Chrome его блокирует

Если Вы согласны запускать смешанный контент, веб-страница изменится с Защищенной на Незащищенную.

Что такое «смешанный контент» и почему Chrome его блокирует

Google упростит это в Chrome 79, который выйдет где-то в декабре 2019 года. Вам нужно будет щелкнуть значок замка слева от адреса страницы, нажать «Настройки сайта», а затем разблокировать смешанный контент для этого сайта.

Читайте также  Как установить уровень масштабирования по умолчанию в Firefox

Опция становится более скрытой, но в этом суть: большинству людей никогда не нужно включать смешанный контент для сайта. Разработчики веб-сайтов должны исправить свои веб-сайты для безопасной доставки ресурсов. Эта опция гарантирует, что любой, кто использует более старый бизнес-сайт, сможет продолжить доступ к нему, даже если смешанный контент отключен для всех.

Если Вам нужен сайт, который требует этого, не беспокойтесь: Google не объявил дату, когда он уберет возможность загружать смешанный контент в Chrome. По умолчанию веб-браузер Google будет блокировать весь смешанный контент, но в обозримом будущем он по-прежнему будет предлагать включить смешанный контент.

А как насчет других браузеров

Хром не единственный браузер. Firefox также блокирует смешанный контент, такой как скрипты и iframes, и требует, чтобы Вы включили параметр «Пока отключить защиту», чтобы включить его. Мы ожидаем, что Mozilla пойдет по стопам Google. Apple Safari также активно блокирует смешанный контент.

И, конечно же, новый браузер Microsoft Edge будет основан на коде Chromium, который формирует основу для Google Chrome и будет вести себя как Chrome.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите свой комментарий!
Пожалуйста, введите ваше имя здесь

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.