Che cos'è il contenuto misto e perché Chrome lo blocca?



Google Chrome blocca già alcuni tipi di contenuti misti sul Web. Ora, Google annunciato sta diventando ancora più serio: a partire dall'inizio del 2020, Chrome bloccherà tutti i contenuti misti per impostazione predefinita, interrompendo alcune pagine Web esistenti. Ecco cosa significa.

Che cos'è il contenuto misto?

Ci sono due tipi di contenuto qui: Contenuto consegnato su a connessione HTTPS sicura e crittografata e il contenuto consegnato tramite una connessione HTTP non crittografata. Quando utilizzi HTTPS, i contenuti non possono essere intercettati o manomessi durante il transito, motivo per cui è fondamentale che i siti Web offrano la crittografia quando si tratta di informazioni finanziarie o dati privati.





Il Web si sta spostando verso siti Web HTTPS sicuri. Se ti connetti a un sito Web HTTP precedente senza crittografia, Google Chrome ora ti avverte che questi siti Web non sono sicuri. Google ora anche nasconde l'indicatore https:// per impostazione predefinita , poiché i siti dovrebbero essere protetti per impostazione predefinita. e il nuovo standard HTTP/3 avrà la crittografia integrata.

Ma alcune pagine web non possono essere né interamente HTTPS né completamente HTTP. Alcune pagine Web vengono fornite tramite una connessione HTTPS sicura, ma raccolgono immagini, script o altre risorse tramite una connessione HTTP non crittografata. Tali pagine Web hanno contenuti misti perché non sono completamente sicure. La pagina web stessa non può essere manomessa, ma potrebbe contenere uno script, un'immagine o un iframe (una pagina web all'interno di un frame su un'altra pagina web) che potrebbe essere stato manomesso.



Perché il contenuto misto è dannoso?

Avviso di Chrome di immagini di contenuto misto.

Il contenuto misto è confuso. Stai in qualche modo visualizzando una pagina web che è sia sicura che non sicura. Ad esempio, una pagina Web solitamente sicura e protetta potrebbe inserire un file JavaScript tramite HTTP. Lo script potrebbe essere modificato, ad esempio, se ti trovi su una rete Wi-Fi pubblica non affidabile, per fare molte cose brutte sulla pagina Web, dal monitoraggio dei tasti premuti all'inserimento di un cookie di tracciamento.

Annuncio pubblicitario

Sebbene gli script e gli iframe, i contenuti attivi, siano i più pericolosi, anche immagini, video e contenuti misti con audio potrebbero essere rischiosi. Ad esempio, immagina di visualizzare un sito Web di compravendita di azioni sicuro che estrae un'immagine della cronologia di un'azione tramite HTTP. Quell'immagine non è sicura: potrebbe essere stata manomessa durante il trasporto per mostrare dettagli errati. Inoltre, poiché è stato consegnato tramite una connessione non crittografata, chiunque curiosare sui dati in transito probabilmente sa quale titolo stai guardando.



È una cattiva idea mescolare contenuti come questo. Se una pagina Web utilizza HTTPS, anche tutte le sue risorse dovrebbero essere richiamate tramite HTTPS. È solo un incidente storico: il Web è iniziato con HTTP e i siti Web sono stati gradualmente aggiornati a HTTPS. Come hanno fatto, non sempre si aggiornavano per utilizzare le risorse HTTPS ovunque. Oppure, potrebbero dipendere da una risorsa di terze parti che non supportava HTTPS in quel momento.

Ora, con Google e altri fornitori di browser che rendono i contenuti misti più difficili e scoraggianti, i siti web dovranno ripulire le cose in modo che le loro pagine web continuino a funzionare per impostazione predefinita.

Cosa sta cambiando esattamente in Chrome?

Chrome attualmente blocca script e iframe misti. In Chrome 80, che verrà rilasciato sui canali di rilascio anticipato a gennaio 2020, Chrome bloccherà le risorse audio e video miste: tecnicamente, proverà invece a caricarle su una connessione HTTPS sicura e le bloccherà in caso contrario. Verranno caricate immagini miste, ma Chrome dirà che la pagina web non è sicura. In Chrome 81, Chrome interromperà anche il caricamento di immagini miste. Gli utenti possono consentire il caricamento del contenuto misto, ma non per impostazione predefinita.

Fa tutto parte del rendere il Web più sicuro. Il post sul blog di Google afferma che si aspetta che il messaggio Not Secure motiverà i siti Web a migrare le proprie immagini su HTTPS.

In che modo Chrome ti consentirà di sbloccare i contenuti misti

Il messaggio di contenuto non protetto bloccato in Google Chrome.

Chrome blocca già alcuni tipi di contenuti misti con un'icona a forma di scudo nella barra degli indirizzi e un messaggio di blocco dei contenuti non protetti. Puoi vedere come funziona su questo pagina di esempio di contenuto misto creato da Google. Ad esempio, per sbloccare uno script di contenuto misto, è necessario fare clic su un collegamento denominato Carica script non sicuri.

Annuncio pubblicitario

Se accetti di eseguire il contenuto misto, la pagina web cambia da Protetto a Non protetto.

Un messaggio non sicuro dopo aver sbloccato uno script di contenuto misto in Google Chrome.

Google lo semplificherà in Chrome 79, che sarà rilasciato a dicembre 2019. Dovrai fare clic sull'icona del lucchetto a sinistra dell'indirizzo della pagina, fare clic su Impostazioni sito e quindi sbloccare i contenuti misti per quel sito.

L'opzione diventa più nascosta, ma questo è il punto: la maggior parte delle persone non dovrebbe mai aver bisogno di abilitare il contenuto misto per un sito. Gli sviluppatori di siti Web devono correggere i propri siti Web per fornire risorse in modo sicuro. Questa opzione assicurerà che chiunque utilizzi un vecchio sito aziendale possa continuare ad accedervi, anche se il contenuto misto è disabilitato per tutti.

Se hai bisogno di un sito che lo richieda, non preoccuparti: Google non ha annunciato una data in cui rimuoverà l'opzione per caricare contenuti misti in Chrome. Il browser web di Google bloccherà tutti i contenuti misti per impostazione predefinita, ma continuerà a offrire un'opzione per abilitare i contenuti misti per il prossimo futuro.

E gli altri browser?

La connessione non è sicura avviso dopo aver sbloccato il contenuto misto in Firefox.

Chrome non è solo. Firefox blocca anche i contenuti misti come script e iframe e richiede di fare clic su a Disattiva la protezione per ora impostazione per riattivarlo. Ci aspettiamo che Mozilla segua le orme di Google. Safari di Apple è aggressivo su blocco di contenuti misti , pure.

E, naturalmente, il nuovo browser Edge di Microsoft sarà basato sul codice Chromium che costituisce la base per Google Chrome e si comporterà come Chrome.

IMPARENTATO: Perché Google Chrome dice che i siti web sono 'non sicuri'?

LEGGI SUCCESSIVO Foto del profilo di Chris Hoffman Chris Hoffman
Chris Hoffman è caporedattore di How-To Geek. Ha scritto di tecnologia per oltre un decennio ed è stato editorialista di PCWorld per due anni. Chris ha scritto per il New York Times, è stato intervistato come esperto di tecnologia su stazioni TV come la NBC 6 di Miami e ha avuto il suo lavoro coperto da organi di informazione come la BBC. Dal 2011, Chris ha scritto oltre 2.000 articoli che sono stati letti quasi un miliardo di volte --- e questo è solo qui su How-To Geek.
Leggi la biografia completa

Articoli Interessanti