Google Chrome: wkrótce koniec mieszanych treści. Czysty HTTPS górą
Jakiś czas temu większość stron porzuciła HTTP na rzecz HTTPS. Witryny oparte o HTTP są w przeglądarkach oznaczane jako potencjalnie niebezpieczne. Mimo to, wiele zawartych treści nawet na stronach HTTPS wciąż korzysta z HTTP. Google chce to ukrócić.
07.10.2019 | aktual.: 07.10.2019 15:56
Google Chrome (i zapewne inne przeglądarki z biegiem czasu) będą uczulone na zawartość mieszaną, gdzie strona mimo legitymowania się przez HTTPS, korzysta z elementów na HTTP. Google chce, aby twórcy stron bardziej przyłożyli się do swojego rzemiosła i zadbali o to, aby wszystkie elementy były przesyłane z uwzględnieniem szyfrowania. Jak na razie tylko strony w pełni oparte o HTTP są oznaczane jako wątpliwe.
Powszechne szyfrowanie z małym „ale”
Według raportów firmy, już teraz Google Chrome w ponad 90 proc. czasu jest wykorzystywane do przeglądania stron HTTPS, więc podstęp jest znaczny, ale nie może być ostatnim słowem w tym temacie. To też nie tak, że Google zainteresowało się tematem dopiero w tej chwili.
Pewne elementy na stronach teoretycznie szyfrowanych, wcale nie są zabezpieczone. To witryny mieszane. Już teraz są częściowo blokowane jako potencjalnie niebezpieczne (np. skrypty). Głównym wyjątkiem są treści multimedialne (wideo, obrazy, dźwięk), ale niedługo również one będą na celowniku, jeśli domyślnie korzystają z HTTP.
2020 i ostateczne "nie" dla HTTP w Google Chrome
Początki nowej polityki będzie można zaobserwować już w wersji Google Chrome 79 (bieżąca stabilna edycja to 77), a apogeum osiągnie w wydaniu 81 planowanym na luty przyszłego roku. Wtedy strony mieszane ostatecznie przestaną być klasyfikowane jako bezpieczne.
Oczywiście nie oznacza to, że treści nagle będą musiały przejść rewolucję w kilka dni. Google daje twórcom kilka miesięcy na zmiany, poza tym zawsze na własną odpowiedzialność będzie można wymusić przeglądanie strony mieszanej czy w pełni używającej HTTP zamiast wyłącznie HTTPS. Innym podobnym ruchem Google jest chociażby rezygnacja ze wsparcia zwykłego protokołu FTP, jako niezbyt bezpiecznego. Nastąpi to nieco szybciej, bo w wydaniu 80.
Miejmy świadomość, że HTTPS to nie panaceum na wszystkie dolegliwości bezpieczeństwa na stronach internetowych. Oznacza tylko szyfrowany ruch, nic więcej. Tym bardziej, że np. podrobione strony banków i tak używają HTTPS, więc chociażby przy phishingu to nam nie pomoże. Cyberprzestępcy już dawno nauczyli się korzystać z HTTPS, tak jak większość twórców stron, przynajmniej na zasadzie mieszanej.