Vlákno názorů k článku
Chrome začne blokovat nahrávání nešifrovaného obsahu na webech načtených po HTTPS od pepa - Na odkazovane strance je v chrome 79 "zamecek"...

Na odkazovane strance je v chrome 79 "zamecek" v pohode, protoze:

curl -I http://mixed.badssl.com/image.jpg
HTTP/1.1 301 Moved Permanently
Server: nginx/1.10.3 (Ubuntu)
Date: Fri, 04 Oct 2019 06:47:59 GMT
Content-Type: text/html
Content-Length: 194
Connection: keep-alive
Location: https://mixed.badssl.com/image.jpg

4. 10. 2019, 08:52 editováno autorem komentáře

Není tam zámeček, je tam jen „i“ v kroužku. Je jedno, že se ten objekt sám později přesměrovává na HTTPS, důležité je, že ta stránka je ochotna ho načíst po HTTP. Tím pádem je tam prostor pro útok, protože na síti můžu to přesměrování zamlčet a poslat po HTTP jiný obrázek.

https://imgur.com/TtOAzJW

Podle network tabu se chrome http variantu ani nepokusí načíst a jeho první pokus je ihned na https, kde je odpověď 200 a je s tím spokojený.

Což je teda "fajn", když prohlížeč nerespektuje kód webu a dělá vlastní rozhodnutí, co načítat a co ne.

https://chromium.googlesource.com/chromium/src/+/master/docs/security/autoupgrade-mixed.md

4. 10. 2019, 12:28 editováno autorem komentáře

Tohle ale není standardní chování. Chrome i Firefox mi na všech počítačích správně ukáží chybu mixed-content a o žádnou úpravu na vlastní pěst se nepokoušejí.

Na tom odkaze je napsáno „for users who are part of the experiment“. Takže jste součástí nějakého experimentu v Chromiu, který ale rozhodně neodráží všeobecné chování.

U jakého obsahu to ukazuje chybu? Mně v chrome a v chromiu fungují http obrázky bez varování.