Google Chrome již blokuje některé typy „smíšeného obsahu“ na webu. Nyní Google oznámil je to ještě vážnější: Počínaje začátkem roku 2020 bude Chrome ve výchozím nastavení blokovat veškerý smíšený obsah, čímž poruší některé stávající webové stránky. Zde je uvedeno, co to znamená.
Table of Contents
Co je smíšený obsah?
Existují dva typy obsahu: Obsah doručovaný přes zabezpečené, šifrované připojení HTTPS a obsah doručovaný přes nešifrované připojení HTTP. Když používáte protokol HTTPS, nelze obsah při přenosu slídit ani s ním manipulovat, a proto je důležité, aby webové stránky při nakládání s finančními informacemi nebo soukromými údaji poskytovaly šifrování.
Web se přesouvá na zabezpečené weby HTTPS. Pokud se připojíte ke starší webové stránce HTTP bez šifrování, Google Chrome vás nyní upozorní, že tyto webové stránky nejsou „zabezpečené“. Google nyní dokonce ve výchozím nastavení skrývá indikátor „https://“, protože weby by měly být ve výchozím nastavení zabezpečené. A nový standard HTTP/3 bude mít vestavěné šifrování.
Některé webové stránky však nemohou být ani zcela HTTPS, ani zcela HTTP. Některé webové stránky se doručují přes zabezpečené připojení HTTPS, ale obrázky, skripty nebo jiné zdroje stahují prostřednictvím nešifrovaného připojení HTTP. Takové webové stránky mají „smíšený obsah“, protože nejsou plně zabezpečené. S webovou stránkou samotnou nebylo možné manipulovat, ale může do ní vtáhnout skript, obrázek nebo prvek iframe (webová stránka uvnitř „rámce“ jiné webové stránky), se kterými by mohlo být manipulováno.
Proč je smíšený obsah špatný
Smíšený obsah je matoucí. Nějakým způsobem si prohlížíte webovou stránku, která je zabezpečená i nezabezpečená. Například obvykle bezpečná a zabezpečená webová stránka může stáhnout soubor JavaScript prostřednictvím HTTP. Tento skript lze upravit – například pokud jste na veřejné Wi-Fi síti, která není důvěryhodná – tak, aby na webové stránce dělal mnoho nepříjemných věcí, od sledování vašich úhozů po vložení sledovacího souboru cookie.
Zatímco skripty a prvky iframe – „aktivní obsah“ – jsou nejnebezpečnější, riskantní mohou být i obrázky, videa a smíšený audio obsah. Představte si například, že si prohlížíte zabezpečený web pro obchodování s akciemi, který stahuje obraz historie akcií přes HTTP. Tento obrázek není zabezpečený – mohl být při přepravě zfalšován, aby zobrazoval nesprávné podrobnosti. Také, protože to bylo doručeno přes nešifrované připojení, každý, kdo slídí o přenášených datech, pravděpodobně ví, na jaké zásoby se díváte.
Míchat obsah takhle je špatný nápad. Pokud webová stránka používá HTTPS, měly by být všechny její zdroje načteny také přes HTTPS. Je to jen historická nehoda – web začal s HTTP a weby postupně upgradovaly na HTTPS. Jak to udělali, ne vždy se aktualizovali, aby všude používali zdroje HTTPS. Nebo mohli záviset na zdroji třetí strany, který v té době nepodporoval HTTPS.
Nyní, když Google a další výrobci prohlížečů znesnadňují a odrazují smíšený obsah, weby budou muset věci vyčistit, aby jejich webové stránky nadále fungovaly ve výchozím nastavení.
Co přesně se v Chrome mění?
Chrome aktuálně blokuje smíšené skripty a prvky iframe. V prohlížeči Chrome 80, který bude vydán pro kanály s předčasným vydáním v lednu 2020, bude Chrome blokovat smíšené zdroje zvuku a videa – technicky se je místo toho pokusí načíst přes zabezpečené připojení HTTPS a zablokuje je, pokud se tak nestane. Načtou se smíšené obrázky, ale Chrome řekne, že webová stránka je „Nezabezpečená“. V Chrome 81 Chrome také přestane načítat smíšené obrázky. Uživatelé mohou povolit načtení smíšeného obsahu, ale ve výchozím nastavení to tak není.
To vše je součástí zvýšení bezpečnosti webu. Blogový příspěvek Google říká, že očekává, že zpráva „Not Secure“ „bude motivovat webové stránky k migraci svých obrázků na HTTPS“.
Jak vám Chrome umožní odblokovat smíšený obsah
Chrome již blokuje některé typy smíšeného obsahu pomocí ikony štítu v adresním řádku a zprávou „Blokován nezabezpečený obsah“. Na tomhle se můžete podívat, jak to funguje ukázková stránka se smíšeným obsahem vytvořený společností Google. Chcete-li například odblokovat skript se smíšeným obsahem, musíte kliknout na odkaz s názvem „Načíst nebezpečné skripty“.
Pokud souhlasíte se spuštěním smíšeného obsahu, webová stránka se změní z Secure na Not Secure.
Google to zjednoduší v Chrome 79, který bude vydán někdy v prosinci 2019. Budete muset kliknout na ikonu zámku nalevo od adresy stránky, kliknout na „Nastavení webu“ a poté odblokovat smíšený obsah pro daný web.
Tato možnost se více zasype, ale o to jde: Většina lidí by nikdy neměla potřebovat povolit smíšený obsah pro web. Vývojáři webových stránek potřebují opravit své webové stránky, aby poskytovaly zdroje bezpečně. Tato možnost zajistí, že kdokoli, kdo používá starší firemní web, bude mít k němu nadále přístup, i když bude smíšený obsah pro všechny zakázán.
Pokud potřebujete web, který to vyžaduje, nebojte se: Google neoznámil datum, kdy zruší možnost načítání smíšeného obsahu v Chromu. Webový prohlížeč Google bude ve výchozím nastavení blokovat veškerý smíšený obsah, ale bude i nadále nabízet možnost povolit smíšený obsah v dohledné budoucnosti.
A co ostatní prohlížeče?
Chrome není sám. Firefox blokuje i smíšený obsah, jako jsou skripty a prvky iframe, a vyžaduje, abyste klikli naProzatím vypněte ochranu” nastavení znovu povolit. Očekáváme, že Mozilla půjde ve šlépějích Google. Safari od Applu je agresivní blokování smíšeného obsahu, také.
A samozřejmě nový prohlížeč Edge od Microsoftu bude založen na kódu Chromium, který tvoří základ pro Google Chrome a bude se chovat jako Chrome.