Więcej
Chrome zablokuje niezabezpieczone zasoby Twojej strony

Chrome zablokuje niezabezpieczone zasoby Twojej strony

04-10-2019 12:47:54

Google Chrome - najpopularniezjesza przeglądarka internetowa na świecie - zaczyna weryfikować czy strony internetowe zabezpieczone certyfikatem SSL ładują zasoby zawsze z użyciem HTTPS. Tam, gdzie dojdzie do niezgodności (tzw. mixed content) zawartość będzie blokowana.

Przez ostatnie lata Google dokładał starania, aby wszystkie strony internetowe korzystały z certyfikatów SSL. Teraz, kiedy 90% czasu spędzanego na przeglądarce Chrome to czas na HTTPS*, Google uznał, że czas na poprawę jakości wdrożeń certyfikatów. Mixed content - czyli sytuacja, gdy strona działa na HTTPS, ale niektóre z jej treści, np. pojedyncze zdjęcie - dostępne są na HTTP - jest na tyle częstym problemem, że Chrome wziął go na celownik. Ostatecznie zasoby takie będą blokowane.

Dobra wiadomość jest taka, że jeśli zasoby Twojej strony dostępne są zarówno p HTTP jak i HTTPS, Chrome automatycznie zaktualizuje je do HTTPS.

 

prezentacja mixed content w Chrome 77 - page info

Przykład jak wygląda informacja o mixed content przed wprowadzeniem zapowiadanych zmian - w Chrome 77. Jak widać strona jest zabezpieczona (Certyfikat: Ważny), ale znajduje się na niej formularz przesyłający dane po HTTP.

 

Planowane zmiany w kolejnych wersjach Chrome

  • Chrome 79 (grudzień 2019)
    w Ustawieniach witryn da możliwość odblokowania mieszanych treści dla wybranych stron;
  • Chrome 80 (styczeń 2020)
    mieszane treści auto i video zostaną automatycznie zaktualizowane do HTTPS, a jeśli nie będzie to możliwe zostaną zablokowane. Z kolei mieszane obrazy będą nadal ładowane, ale powodując pojawienie się informacji "Niezabezpieczone".
  • Chrome 81 (luty 2020)
    mieszane obrazy będą automatycznie zaktualizowane do HTTPS, a jeśli nie będzie to możliwe zostaną zablokowane.

WordPress vs mixed content

Jeśli chcesz się przekonać czy Twoja strona zawiera mixed content możesz użyć jednego z wielu narzędzi online, np. tego
Jeśli Twoja strona jest zbudowana na WordPress, korzysta już z certyfikatu SSL i dochodzi na niej do mieszania treści, możesz skorzystać z tej wtyczki

 

Dlaczego mixed content to problem?

Wywoływanie zasobów przy użyciu protokołu HTTP osłabia bezpieczeństwo całej witryny, ponieważ żądanie takie podatne jest na ataki typu man-in-the-middle, w których to atakujący podsłuchuje połączenie sieciowe i wyświetla lub modyfikuje komunikację między dwiema stronami. Korzystając z zasobów dostępnych na HTTP, przestępca może przejąć pełną kontrolę nad całą stroną, a nie tylko zaatakowanym zasobem**. Przykładowo przestępca może sfałszować obraz, aby wprowadzić śledzący plik cookie. 

 

Źródło:

https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.html
** https://developers.google.com/web/fundamentals/security/prevent-mixed-content/what-is-mixed-content

Najnowsze wpisy

Firefox wprowadził tryb HTTPS-only
21-01-2021 14:17:11

Pod koniec zeszłego roku na rynku zadebiutowała nowa wersja przeglądarki – Firefox ’83. Użytkownicy znajdą w niej sporo aktualizacji i nowości. Jedną z wprowadzonych zmian, ku większemu bezpieczeństwu i zaufaniu użytkowników, jest tryb HTTPS-Only.

Firefox wprowadził tryb HTTPS-only
Masz androida? Twój Let's Encrypt może nie zadziałać
09-12-2020 14:15:37

Certyfikat Let’s Encrypt może nie zadziałać nawet na co trzecim urządzeniu z systemem operacyjnym Android. W związku z zapowiedzią, w 2021 roku Let’s Encrypt zaprzestanie używać DST Root X3 na rzecz własnego certyfikatu głównego – ISRG Root X1.

Masz androida? Twój Let's Encrypt może nie zadziałać
ECC w szyfrowaniu SSL
07-10-2020 11:28:10

Internet stał się nieodłączną częścią naszego życia. Pracujemy, używając sieci. Robimy zakupy, płacimy rachunki, dokonujemy różnego typu transakcji. Nasze dane wrażliwe, podlegają ciągłej dystrybucji. Jak chronić ich bezpieczeństwo? Odpowiedzią na to są certyfikaty SSL. Śmiało możemy powiedzieć, że są polisą ubezpieczeniową naszych danych.

 

ECC w szyfrowaniu SSL
więcej wpisów