Googles Chrome skärper reglerna för blandat innehåll på webben
Google Chrome har redan en funktion som blockerar vissa typer av så kallat ”blandat innehåll” på webbsidor. Nu har Google meddelat att de kommer att ta ett ännu striktare grepp. Från och med början av 2020 kommer Chrome som standard att blockera allt blandat innehåll, vilket kan leda till att vissa webbsidor inte fungerar som de ska. Nedan förklarar vi vad detta innebär.
Vad menas med blandat innehåll?
Innehåll kan i detta sammanhang delas in i två kategorier: innehåll som skickas via en säker, krypterad HTTPS-anslutning och innehåll som överförs via en okrypterad HTTP-anslutning. HTTPS garanterar att informationen inte kan avlyssnas eller manipuleras under överföringen, vilket är avgörande för webbplatser som hanterar känslig finansiell information eller privata data.
Webben rör sig mot att bli helt baserad på säkra HTTPS-webbplatser. Om du ansluter till en äldre HTTP-webbplats varnar Chrome dig för att den inte är ”säker”. Chrome har till och med börjat dölja ”https://”-indikatorn som standard, eftersom säkerhet bör vara en självklarhet. Den nya standarden HTTP/3 har dessutom inbyggd kryptering.
Men vissa webbsidor är inte helt HTTPS eller HTTP. De kan levereras via en säker HTTPS-anslutning, men laddar sedan in bilder, skript eller andra resurser via en okrypterad HTTP-anslutning. Dessa sidor har alltså ”blandat innehåll”, eftersom de inte är helt säkra. Själva webbsidan är skyddad, men den kan hämta in skript, bilder eller iframes (en webbsida inuti en ”ram” på en annan sida) som kan ha manipulerats.
Varför är blandat innehåll ett problem?
Blandat innehåll skapar en osäker situation. Du ser en webbsida som på ett sätt är både säker och osäker. Ett exempel kan vara en i vanliga fall säker sida som laddar in en JavaScript-fil via HTTP. Det skriptet kan modifieras, exempelvis om du använder ett osäkert offentligt wifi-nätverk, och då kan det användas för att göra skadliga saker på sidan, som att övervaka tangenttryckningar eller installera spårningscookies.
Även om skript och iframes – så kallat ”aktivt innehåll” – är de mest riskabla, kan även bilder, videor och ljud som blandas vara farliga. Tänk dig en säker webbplats för aktiehandel som hämtar in en bild av en aktiekurs via HTTP. Bilden är inte säker och kan ha manipulerats under överföringen. Dessutom kan alla som snokar på data se vilken aktie du tittar på.
Att blanda innehåll på det här sättet är olämpligt. Om en webbsida använder HTTPS bör alla dess resurser också hämtas via HTTPS. Detta är ett arv från internets tidiga dagar, då webben började med HTTP och sedan gradvis uppgraderades till HTTPS. Under den övergången uppdaterades inte alltid alla resurser till HTTPS, eller så var man beroende av tredjepartsresurser som saknade HTTPS-stöd vid den tidpunkten.
Nu när Google och andra webbläsarleverantörer gör blandat innehåll svårare att använda, tvingas webbplatser att städa upp sin kod för att deras sidor ska fungera som de ska.
Vad exakt ändras i Chrome?
Chrome blockerar redan blandade skript och iframes. I Chrome 80, som släpps till tidiga användare i januari 2020, kommer Chrome även att blockera blandade ljud- och videofiler. Det tekniska tillvägagångssättet är att först försöka ladda dem via en säker HTTPS-anslutning och endast blockera dem om detta inte lyckas. Bilder med blandat innehåll kommer fortfarande att laddas, men Chrome kommer att visa en varning om att sidan inte är säker. I Chrome 81 kommer även blandade bilder att blockeras som standard. Användaren kommer fortfarande att kunna tillåta laddning av blandat innehåll, men det kommer inte att vara standardinställningen.
Allt detta görs för att göra webben säkrare. Google förväntar sig att varningen ”Inte säker” kommer att ”motivera webbplatser att migrera sina bilder till HTTPS”.
Hur man avblockerar blandat innehåll i Chrome
Chrome blockerar redan vissa typer av blandat innehåll och indikerar detta med en sköldikon i adressfältet och meddelandet ”Osäkert innehåll blockerat”. Du kan se hur detta fungerar på Googles testsida för blandat innehåll. För att avblockera ett skript med blandat innehåll, måste du klicka på en länk som heter ”Ladda osäkra skript”.
Om du accepterar att köra det blandade innehållet ändras sidans status från Säker till Inte säker.
Google kommer att förenkla detta i Chrome 79, som släpps i december 2019. Du måste klicka på låsikonen till vänster om webbadressen, välja ”Webbplatsinställningar” och sedan avblockera blandat innehåll för den aktuella webbplatsen.
Alternativet kommer att bli mer gömt, vilket är meningen: de flesta användare ska inte behöva aktivera blandat innehåll för en webbplats. Utvecklare måste åtgärda sina webbplatser för att leverera resurser på ett säkert sätt. Detta alternativ finns för att användare av äldre webbplatser ska kunna fortsätta använda dem, även med blockering av blandat innehåll aktiverat som standard.
Oroa dig inte om du behöver en webbplats som använder blandat innehåll: Google har inte meddelat något datum för när möjligheten att ladda blandat innehåll kommer att tas bort i Chrome. Google kommer att fortsätta blockera allt blandat innehåll som standard, men kommer fortfarande att erbjuda ett alternativ för att aktivera det under en överskådlig framtid.
Hur ser det ut i andra webbläsare?
Chrome är inte ensam. Firefox blockerar också blandat innehåll som skript och iframes, och kräver att du klickar på ” Inaktivera skyddet tillfälligt” för att åsidosätta blockeringen. Vi räknar med att Mozilla kommer att följa i Googles fotspår. Även Apples Safari är strikt när det gäller att blockera blandat innehåll.
Microsofts nya webbläsare Edge är baserad på samma Chromium-kod som ligger till grund för Google Chrome, och kommer därför att bete sig på samma sätt.