Chrome kommer blockera osäkert innehåll på HTTPS-sidor

Postat:
09:32 - 2019-10-04
Skribent:
| Lars A
Kommentarer:
2

Google har pushat hårt för att fler hemsidor ska anamma HTTPS; inte bara de sajter som berör överföring av känslig information. Protokollet är en säker förlängning av ”Hypertext Transfer Protocol” (HTTP) som tidigare var allrådande.

Enligt Google tillbringar Chrome-användare idag 90 procent av sin surftid på HTTPS-sidor oavsett plattform. Nu vill Google vidta åtgärder för att HTTPS-sidor ska undvika blandat innehåll, det vill säga att vissa komponenter laddas över HTTP fastän domänen använder HTTPS.

Efterhand kommer allt osäkert innehåll på HTTPS-sidor helt enkelt att blockeras av Chrome. Webbläsaren försöker först uppgradera det osäkra innehållet till HTTPS automatiskt – ifall det misslyckas blockeras komponenterna.

Från och med Chrome 81 som släpps som alfa eller beta i februari 2020 kommer osäker laddning av ljud, video och bilder att blockeras som standard, ifall innehållet inte kan åtgärdas automatiskt av webbläsaren.

HTTPS pages commonly suffer from a problem called mixed content, where subresources on the page are loaded insecurely over http://. Browsers block many types of mixed content by default, like scripts and iframes, but images, audio, and video are still allowed to load, which threatens users’ privacy and security.

For example, an attacker could tamper with a mixed image of a stock chart to mislead investors, or inject a tracking cookie into a mixed resource load. Loading mixed content also leads to a confusing browser security UX, where the page is presented as neither secure nor insecure but somewhere in between.