A Google Chrome már blokkol bizonyos típusú „vegyes tartalmat” az interneten. Most, Google bejelentett ez még komolyabbá válik: 2020 elejétől a Chrome alapértelmezés szerint blokkolja az összes vegyes tartalmat, megszakítva ezzel néhány meglévő weboldalt. Íme, ez mit jelent.
Tartalomjegyzék
Mi az a vegyes tartalom?
Itt kétféle tartalom létezik: biztonságos, titkosított HTTPS-kapcsolaton keresztül és titkosítatlan HTTP-kapcsolaton keresztül szállított tartalom. Ha HTTPS-t használ, a tartalmat nem lehet kifürkészni vagy megváltoztatni az átvitel során, ezért nagyon fontos, hogy a webhelyek titkosítást kínáljanak pénzügyi információkkal vagy személyes adatokkal kapcsolatban.
A web biztonságos HTTPS-webhelyekre költözik. Ha egy régebbi HTTP-webhelyhez csatlakozik titkosítás nélkül, a Google Chrome figyelmezteti Önt, hogy ezek a webhelyek „nem biztonságosak”. A Google alapértelmezés szerint még a „https://” jelzőt is elrejti, mivel a webhelyeknek alapértelmezés szerint biztonságosaknak kell lenniük. Az új HTTP/3 szabványnak pedig beépített titkosítása lesz.
Néhány weboldal azonban nem lehet teljesen HTTPS vagy nem teljesen HTTP. Egyes weboldalak biztonságos HTTPS-kapcsolaton keresztül jelennek meg, de titkosítatlan HTTP-kapcsolaton keresztül képeket, szkripteket vagy egyéb erőforrásokat vonnak be. Az ilyen weboldalak „vegyes tartalommal” rendelkeznek, mivel nem teljesen biztonságosak. Magát a weboldalt nem lehetett módosítani, de előfordulhat, hogy behúz egy szkriptet, képet vagy iframe-et (egy másik weboldal „keretében” lévő weboldalt), amelyet meg lehetett volna manipulálni.
Miért rossz a vegyes tartalom?
A vegyes tartalom zavaró. Valahogy olyan weboldalt tekint meg, amely biztonságos és nem biztonságos. Például egy általában biztonságos weboldal behúzhat egy JavaScript-fájlt HTTP-n keresztül. Ez a szkript módosítható – például ha egy nyilvános Wi-Fi hálózaton van, amely nem megbízható –, hogy sok csúnya dolgot tegyen a weboldalon, a billentyűleütések figyelésétől a nyomkövető cookie beszúrásáig.
Míg a szkriptek és az iframe-ek – az „aktív tartalom” – a legveszélyesebbek, még a képek, videók és hanganyaggal kevert tartalmak is kockázatosak lehetnek. Képzelje el például, hogy egy biztonságos tőzsdei kereskedési webhelyet néz meg, amely HTTP-n keresztül letölti a részvények történetét. Ez a kép nem biztonságos – szállítás közben megváltoztathatták, hogy helytelen részleteket jelenítsen meg. Ezen túlmenően, mivel titkosítatlan kapcsolaton keresztül szállították, bárki, aki az átvitel közbeni adatokra kíváncsi, valószínűleg tudja, milyen készletet néz.
Rossz ötlet ilyen tartalmakat keverni. Ha egy weboldal HTTPS-t használ, akkor az összes erőforrást HTTPS-en keresztül is be kell vonni. Ez csak egy történelmi baleset – az internet a HTTP-vel indult, és a webhelyek fokozatosan HTTPS-re frissítettek. Ahogy tették, nem mindig frissítettek, hogy mindenhol HTTPS-erőforrásokat használjanak. Vagy lehet, hogy egy harmadik féltől származó erőforrástól függtek, amely akkoriban nem támogatta a HTTPS-t.
Most, hogy a Google és más böngészőgyártók megnehezítik és elriasztják a vegyes tartalmat, a webhelyeknek meg kell tisztítaniuk a dolgokat, hogy weboldalaik alapértelmezés szerint továbbra is működjenek.
Pontosan mi változik a Chrome-ban?
A Chrome jelenleg blokkolja a vegyes szkripteket és iframe-eket. A Chrome 80-ban, amely 2020 januárjában jelenik meg a korai kiadású csatornákon, a Chrome blokkolja a vegyes hang- és videoforrásokat – technikailag ehelyett biztonságos HTTPS-kapcsolaton keresztül próbálja meg betölteni őket, és blokkolja őket, ha nem. A vegyes képek betöltődnek, de a Chrome azt mondja, hogy a weboldal „Nem biztonságos”. A Chrome 81-ben a Chrome leállítja a vegyes képek betöltését is. A felhasználók engedélyezhetik a vegyes tartalom betöltését, de alapértelmezés szerint nem.
Mindez része az internet biztonságosabbá tételének. A Google blogbejegyzése azt írja, hogy a „Not Secure” üzenet arra számít, hogy „motiválni fogja a webhelyeket, hogy képeiket HTTPS-re migrálják”.
Hogyan oldja fel a Chrome a vegyes tartalmak blokkolását?
A Chrome már blokkol bizonyos típusú vegyes tartalmakat a címsávban megjelenő pajzs ikonnal és a „Nem biztonságos tartalom blokkolva” üzenettel. Megnézheti, hogyan működik ezen vegyes tartalmú példaoldal a Google készítette. Például egy vegyes tartalmú szkript blokkolásának feloldásához kattintson a „Nem biztonságos szkriptek betöltése” nevű linkre.
Ha beleegyezik a vegyes tartalom futtatásához, a weboldal biztonságosról nem biztonságosra változik.
A Google leegyszerűsíti ezt a Chrome 79-ben, amely valamikor 2019 decemberében fog megjelenni. Kattintson az oldal címétől balra található lakat ikonra, kattintson a „Webhelybeállítások” lehetőségre, majd feloldja a vegyes tartalmak letiltását az adott webhelyen.
Ez a lehetőség eltemetettebbé válik, de ez a lényeg: a legtöbb embernek soha nem kell engedélyeznie a vegyes tartalmat egy webhelyen. A webhelyfejlesztőknek javítaniuk kell webhelyeiket az erőforrások biztonságos eljuttatása érdekében. Ezzel a lehetőséggel bárki, aki egy régebbi üzleti webhelyet használ, továbbra is hozzáférhet ahhoz, még akkor is, ha a vegyes tartalom mindenki számára le van tiltva.
Ha olyan webhelyre van szüksége, amely ezt igényli, ne aggódjon: a Google még nem közölt dátumot, amikor megszünteti a vegyes tartalom betöltésének lehetőségét a Chrome-ban. A Google webböngészője alapértelmezés szerint letilt minden vegyes tartalmat, de továbbra is lehetőséget kínál a vegyes tartalom engedélyezésére a belátható jövőben.
Mi a helyzet a többi böngészővel?
A Chrome nincs egyedül. A Firefox blokkolja a vegyes tartalmakat, például a szkripteket és az iframe-eket is, és megköveteli, hogy kattintson a „Egyelőre kapcsolja ki a védelmet” beállítást az újraengedélyezéshez. Arra számítunk, hogy a Mozilla a Google nyomdokaiba lép. Az Apple Safari agresszív kb vegyes tartalom blokkolása, is.
És természetesen a Microsoft új Edge böngészője a Google Chrome alapját képező Chromium kódon fog alapulni, és úgy fog viselkedni, mint a Chrome.