Hlavní navigace

Chrome začne blokovat nahrávání nešifrovaného obsahu na webech načtených po HTTPS

Sdílet

Petr Krčmář
Chrome HTTPs

Mixed-content je obsah, který je na stránce získané pomocí HTTPS načítán po nešifrovaném HTTP. Prohlížeče dnes sice před takovou situací varují, nezobrazí správně zámeček v adresním řádku, ale obsah přesto načtou. Vyzkoušet si to můžete na mixed.badssl.com. V konzoli prohlížeče je pak vidět, že obrázek je načten po HTTP.

Vývojáři Chrome nyní oznámili, že prohlížeč bude postupně stažení takového obsahu blokovat. Cílem je zlepšení bezpečnosti a vyšší míra soukromí pro uživatele, kterým nebudou na šifrovaných webech potenciálně unikat citlivé údaje pomocí části nešifrovaných spojení.

Míchání HTTPS a HTTP objektů na webu je všeobecně považováno za chybu, takže z tohoto pohledu o žádnou novinku nejde. Vývojáři se snaží této chybě vyhnout a správně udělaný web těmito problémy netrpí, zejména také kvůli tomu, že v opačném případě prohlížeč uživatele na problém upozorní.

Současný stav umožňuje na webech s touto chybou útočníkovi pozměnit část obsahu načítaného pomocí HTTP a například do něj přidat vlastní skripty. Přestože samotný web HTTPS používá a obsah stránky není možné upravit, některé objekty mohou zůstat zranitelné.

Změna bude nasazována postupně napříč několika verzemi Chrome. Například v prosincovém vydání Chrome 79 bude možné ještě v nastavení stránky načítání mixovaného obsahu povolit. Lednové vydání 80 zkusí samo video a audio obsah načíst z HTTPS a při neúspěchu načítání zablokuje, což bude moci uživatel stále změnit. Únorová 81. verze pak všechno načítání automaticky povýší na HTTPS a jiné pokusy zablokuje.

Našli jste v článku chybu?
Ochrana proti spamovacím robotům. Odpovězte prosím na následující otázku: Jaký je letos rok?