Więcej
Chrome zablokuje niezabezpieczone zasoby Twojej strony

Chrome zablokuje niezabezpieczone zasoby Twojej strony

04-10-2019 12:47:54

Google Chrome - najpopularniezjesza przeglądarka internetowa na świecie - zaczyna weryfikować czy strony internetowe zabezpieczone certyfikatem SSL ładują zasoby zawsze z użyciem HTTPS. Tam, gdzie dojdzie do niezgodności (tzw. mixed content) zawartość będzie blokowana.

Przez ostatnie lata Google dokładał starania, aby wszystkie strony internetowe korzystały z certyfikatów SSL. Teraz, kiedy 90% czasu spędzanego na przeglądarce Chrome to czas na HTTPS*, Google uznał, że czas na poprawę jakości wdrożeń certyfikatów. Mixed content - czyli sytuacja, gdy strona działa na HTTPS, ale niektóre z jej treści, np. pojedyncze zdjęcie - dostępne są na HTTP - jest na tyle częstym problemem, że Chrome wziął go na celownik. Ostatecznie zasoby takie będą blokowane.

Dobra wiadomość jest taka, że jeśli zasoby Twojej strony dostępne są zarówno p HTTP jak i HTTPS, Chrome automatycznie zaktualizuje je do HTTPS.

 

prezentacja mixed content w Chrome 77 - page info

Przykład jak wygląda informacja o mixed content przed wprowadzeniem zapowiadanych zmian - w Chrome 77. Jak widać strona jest zabezpieczona (Certyfikat: Ważny), ale znajduje się na niej formularz przesyłający dane po HTTP.

 

Planowane zmiany w kolejnych wersjach Chrome

  • Chrome 79 (grudzień 2019)
    w Ustawieniach witryn da możliwość odblokowania mieszanych treści dla wybranych stron;
  • Chrome 80 (styczeń 2020)
    mieszane treści auto i video zostaną automatycznie zaktualizowane do HTTPS, a jeśli nie będzie to możliwe zostaną zablokowane. Z kolei mieszane obrazy będą nadal ładowane, ale powodując pojawienie się informacji "Niezabezpieczone".
  • Chrome 81 (luty 2020)
    mieszane obrazy będą automatycznie zaktualizowane do HTTPS, a jeśli nie będzie to możliwe zostaną zablokowane.

WordPress vs mixed content

Jeśli chcesz się przekonać czy Twoja strona zawiera mixed content możesz użyć jednego z wielu narzędzi online, np. tego
Jeśli Twoja strona jest zbudowana na WordPress, korzysta już z certyfikatu SSL i dochodzi na niej do mieszania treści, możesz skorzystać z tej wtyczki

 

Dlaczego mixed content to problem?

Wywoływanie zasobów przy użyciu protokołu HTTP osłabia bezpieczeństwo całej witryny, ponieważ żądanie takie podatne jest na ataki typu man-in-the-middle, w których to atakujący podsłuchuje połączenie sieciowe i wyświetla lub modyfikuje komunikację między dwiema stronami. Korzystając z zasobów dostępnych na HTTP, przestępca może przejąć pełną kontrolę nad całą stroną, a nie tylko zaatakowanym zasobem**. Przykładowo przestępca może sfałszować obraz, aby wprowadzić śledzący plik cookie. 

 

Źródło:

https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.html
** https://developers.google.com/web/fundamentals/security/prevent-mixed-content/what-is-mixed-content

Najnowsze wpisy

Certyfikat EV w 7 sekund
29-10-2019 09:43:51

Nazwa firmy w pasku przeglądarki w sposób jednoznaczny identyfikująca właściciela serwisu jest elementem zwiększającym zaufanie do strony, ale uzyskanie samego certyfikatu wymaga nieco więcej działań od samego właściciela serwisu. 7 sekund - tylko tyle trwa wydanie certyfikatu na poziomie EV, jeżeli podmiot ubiegający się o certyfikat spełnia wszystkie wymogi formalne i dopełnił weryfikacji firmy.

Certyfikat EV w 7 sekund
Firefox oznaczy strony bez SSL jako Niezabezpieczone
16-10-2019 14:06:26

Już 22 października 2019 r. Mozilla Firefox - wraz z udostępnieniem nowej wersji 70 - oznaczy wszystkie strony, które nadal nie korzystają z certyfikatu SSL jako "Niezabezpieczone" ("Not Secure").

Firefox oznaczy strony bez SSL jako Niezabezpieczone
Chrome zablokuje niezabezpieczone zasoby Twojej strony
04-10-2019 12:47:54

Google Chrome - najpopularniezjesza przeglądarka internetowa na świecie - zaczyna weryfikować czy strony internetowe zabezpieczone certyfikatem SSL ładują treści zawsze z użyciem HTTPS. Tam, gdzie dojdzie do niezgodności (tzw. mixed content) zawartość będzie blokowana.

Chrome zablokuje niezabezpieczone zasoby Twojej strony
więcej wpisów