Więcej
Chrome zablokuje niezabezpieczone zasoby Twojej strony

Chrome zablokuje niezabezpieczone zasoby Twojej strony

04-10-2019 12:47:54

Google Chrome - najpopularniezjesza przeglądarka internetowa na świecie - zaczyna weryfikować czy strony internetowe zabezpieczone certyfikatem SSL ładują zasoby zawsze z użyciem HTTPS. Tam, gdzie dojdzie do niezgodności (tzw. mixed content) zawartość będzie blokowana.

Przez ostatnie lata Google dokładał starania, aby wszystkie strony internetowe korzystały z certyfikatów SSL. Teraz, kiedy 90% czasu spędzanego na przeglądarce Chrome to czas na HTTPS*, Google uznał, że czas na poprawę jakości wdrożeń certyfikatów. Mixed content - czyli sytuacja, gdy strona działa na HTTPS, ale niektóre z jej treści, np. pojedyncze zdjęcie - dostępne są na HTTP - jest na tyle częstym problemem, że Chrome wziął go na celownik. Ostatecznie zasoby takie będą blokowane.

Dobra wiadomość jest taka, że jeśli zasoby Twojej strony dostępne są zarówno p HTTP jak i HTTPS, Chrome automatycznie zaktualizuje je do HTTPS.

 

prezentacja mixed content w Chrome 77 - page info

Przykład jak wygląda informacja o mixed content przed wprowadzeniem zapowiadanych zmian - w Chrome 77. Jak widać strona jest zabezpieczona (Certyfikat: Ważny), ale znajduje się na niej formularz przesyłający dane po HTTP.

 

Planowane zmiany w kolejnych wersjach Chrome

  • Chrome 79 (grudzień 2019)
    w Ustawieniach witryn da możliwość odblokowania mieszanych treści dla wybranych stron;
  • Chrome 80 (styczeń 2020)
    mieszane treści auto i video zostaną automatycznie zaktualizowane do HTTPS, a jeśli nie będzie to możliwe zostaną zablokowane. Z kolei mieszane obrazy będą nadal ładowane, ale powodując pojawienie się informacji "Niezabezpieczone".
  • Chrome 81 (luty 2020)
    mieszane obrazy będą automatycznie zaktualizowane do HTTPS, a jeśli nie będzie to możliwe zostaną zablokowane.

WordPress vs mixed content

Jeśli chcesz się przekonać czy Twoja strona zawiera mixed content możesz użyć jednego z wielu narzędzi online, np. tego
Jeśli Twoja strona jest zbudowana na WordPress, korzysta już z certyfikatu SSL i dochodzi na niej do mieszania treści, możesz skorzystać z tej wtyczki

 

Dlaczego mixed content to problem?

Wywoływanie zasobów przy użyciu protokołu HTTP osłabia bezpieczeństwo całej witryny, ponieważ żądanie takie podatne jest na ataki typu man-in-the-middle, w których to atakujący podsłuchuje połączenie sieciowe i wyświetla lub modyfikuje komunikację między dwiema stronami. Korzystając z zasobów dostępnych na HTTP, przestępca może przejąć pełną kontrolę nad całą stroną, a nie tylko zaatakowanym zasobem**. Przykładowo przestępca może sfałszować obraz, aby wprowadzić śledzący plik cookie. 

 

Źródło:

https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.html
** https://developers.google.com/web/fundamentals/security/prevent-mixed-content/what-is-mixed-content

Najnowsze wpisy

Let’s Encrypt unieważnia certyfikaty
04-03-2020 13:57:21

Korzystasz z bezpłatnego certyfikatu SSL? Twoją witrynę mogą dotknąć poważne konsekwencje. Let’s Encrypt unieważni miliony certyfikatów SSL. Zmiana nastąpi 4 marca 2020 roku. Powodem zaistniałej sytuacji jest błąd autoryzacji CAA.

Let’s Encrypt unieważnia certyfikaty
Chrome zablokuje pobieranie załączników HTTP ze stron HTTPS
18-02-2020 15:28:21

Google będzie chronić użytkowników Chrome przed pobieraniem niebezpiecznych plików, stopniowo blokując ściąganie ze stron zabezpieczonych certyfikatem SSL załączników korzystających z HTTP.

Chrome zablokuje pobieranie załączników HTTP ze stron HTTPS
S/MIME - jak uruchomić certyfikat do szyfrowania wiadomości e-mail
10-02-2020 15:46:36

W czasach wszechobecnej inwigilacji oraz zagrożeń, jakie wiążą się z korzystaniem z Internetu, naturalną wydaje się potrzeba zabezpieczenia korespondencji prowadzonej z użyciem poczty elektronicznej. Do tego celu powszechnie stosowane są certyfikaty S/MIME, a jednym z najpopularniejszych jest certyfikat SSL Sectigo Secure E-mail. Rozwiązanie to pozwala zabezpieczyć konkretne adresy e-mail, dzięki czemu wiadomości są w pełni zaszyfrowane, a firma może ustrzec się przed wyciekiem ważnych danych czy phishingiem. S/MIME to rozwiązanie dedykowane zarówno dla podmiotów gospodarczych, jak i osób, które cenią sobie prywatność.

S/MIME - jak uruchomić certyfikat do szyfrowania wiadomości e-mail
więcej wpisów