O que é "conteúdo misto" e por que o Chrome está bloqueando?
O Google Chrome já bloqueia alguns tipos de '“ conteúdo misto' ”Na internet. Agora, o Google anunciou que está ficando ainda mais sério: a partir do início de 2020, o Chrome bloqueará todo o conteúdo misto por padrão, quebrando algumas páginas da web existentes. Aqui está o que isso significa.
O que é conteúdo misto?
Existem dois tipos de conteúdo aqui: Conteúdo entregue por uma conexão HTTPS segura e criptografada e conteúdo entregue por uma conexão HTTP não criptografada. Quando você usa HTTPS, o conteúdo não pode ser bisbilhotado ou adulterado em trânsito, e é por isso que os sites críticos oferecem criptografia ao lidar com informações financeiras ou dados privados.
A webestá se movendo para sites HTTPS seguros. Se você se conectar a um site HTTP antigo sem criptografia, o Google Chrome agora avisa que esses sites não são "seguros". ”O Google agora oculta até o https: // ”por padrão, pois os sites devem ser protegidos por padrão.E o novo padrão HTTP / 3 terá criptografia integrada.
Mas algumas páginas da Web não podem ser totalmente HTTPS nem completamente HTTP. Algumas páginas da web são entregues por uma conexão HTTPS segura, mas extraem imagens, scripts ou outros recursos por meio de uma conexão HTTP não criptografada. Essas páginas da Web têm 'conteúdo misto' ”porque eles não são totalmente seguros.A página da Web em si não pode ser adulterada, mas pode gerar um script, imagem ou iframe (uma página da Web dentro de um quadro ” em outra página da Web) que poderia ter sido adulterada.
Por que o conteúdo misto é ruim
O conteúdo misto é confuso. De alguma forma, você está visualizando uma página da web que é segura e não segura. Por exemplo, uma página da web geralmente segura e protegida pode gerar um arquivo JavaScript via HTTP. Esse script pode ser modificado, por exemplo, se você estiver em uma rede Wi-Fi pública que não é confiável para fazer muitas coisas desagradáveis na página da web, desde o monitoramento de pressionamentos de teclas até a inserçãoum cookie de rastreamento.
Enquanto scripts e iframes — “ conteúdo ativo ” —são os mais perigosos, até imagens, vídeos e conteúdo misto de áudio podem ser arriscados. Por exemplo, imagine que você esteja visualizando um site seguro de negociação de ações que obtém uma imagem do histórico de uma ação via HTTP. Essa imagem não é segura - poderia ter sido adulterada em trânsito para mostrar detalhes incorretos. Além disso, como foi entregue através de uma conexão não criptografada, qualquer pessoa que esteja bisbilhotando os dados em trânsito provavelmente sabe qual o material que você está vendo.
É uma má idéia misturar conteúdo como esse. Se uma página da web estiver usando HTTPS, todos os seus recursos também deverão ser acessados via HTTPS.É apenas um acidente histórico; a web começou com HTTP e os sites foram gradualmente atualizados para HTTPS. Como eles faziam, eles nem sempre eram atualizados para usar os recursos HTTPS em qualquer lugar. Ou eles podem ter dependido de um recurso de terceiros que não suportava HTTPS na época. Agora, com o Google e outros fornecedores de navegadores tornando o conteúdo misto mais difícil e desanimador, os sites terãopara limpar as coisas para que suas páginas da web continuem funcionando por padrão.
O que exatamente está mudando no Chrome?
O Chrome atualmente bloqueia scripts e iframes mistos. No Chrome 80, que será lançado nos canais de lançamento antecipado em janeiro de 2020, o Chrome bloqueará recursos mistos de áudio e vídeo - tecnicamente, tentará carregá-los em uma conexão HTTPS segura e bloqueá-los se eles ganharem ’t. Imagens mistas serão carregadas, mas o Chrome dirá que a página da Web é "Não segura". ”No Chrome 81, o Chrome também para de carregar imagens mistas. Os usuários podem permitir que o conteúdo misto seja carregado, mas ele não é o padrão.
É tudo parte de tornar a web mais segura.A publicação no blog do Google diz que espera que o “ Not Secure ”A mensagem "motivará os sites a migrarem suas imagens para HTTPS".
Como o Chrome permitirá que você desbloqueie conteúdo misto
Chromejá bloqueia alguns tipos de conteúdo misto com um ícone de escudo na barra de endereço e um conteúdo inseguro bloqueado ”mensagem. Você pode ver como ele funciona nesta página de exemplo de conteúdo misto criada pelo Google. Por exemplo, para desbloquear um script de conteúdo misto, você deve clicar em um link chamado "Carregar scripts não seguros". ”
Se você concorda em executar o conteúdo misto, a página da Web muda de Seguro para Não Seguro.
O Google simplificará isso no Chrome 79, que será lançadoem algum momento de dezembro de 2019. Você terá que clicar no ícone de cadeado à esquerda do endereço da página, clique em "Configurações do site", ”e depois desbloqueie o conteúdo misto desse site.
A opção fica mais oculta, mas esse é o ponto: a maioria das pessoas nunca precisa ativar o conteúdo misto de um site. Os desenvolvedores de sites precisam corrigir seus sites para fornecer recursos com segurança. Essa opção garantirá que qualquer pessoa que use um site comercial antigo possa continuar acessando, mesmo que o conteúdo misto esteja desativado para todos.
Se você precisar de um site que exija isso, não se preocupe: o Google não tem #8217; anunciou uma data em que está removendo a opção de carregar conteúdo misto no Chrome.O navegador da web do Google bloqueará todo o conteúdo misto por padrão, mas continuará oferecendo uma opção para habilitar o conteúdo misto no futuro próximo.
E os outros navegadores?
O Chrome não está sozinho.O Firefox também bloqueia o conteúdo misto, como scripts e iframes, e exige que você clique em uma opção "Desativar proteção por enquanto" ”configuração para reativá-lo. Esperamos que a Mozilla siga os passos do Google.O Safari da Apple também é agressivo com o bloqueio de conteúdo misto.
E, é claro, o novo navegador Edge da Microsoft se baseará no código Chromium, que forma a base do Google Chrome ese comportará como o Chrome.
RELACIONADO: Por que o Google Chrome diz que os sites não são seguros?
Via: How to Geek
Nenhum comentário