Google Chrome blockerar redan vissa typer av ”blandat innehåll” på webben. Nu, Google meddelat det blir ännu mer allvarligt: Från och med början av 2020 kommer Chrome att blockera allt blandat innehåll som standard, vilket bryter några befintliga webbsidor. Här är vad det betyder.
Innehållsförteckning
Vad är blandat innehåll?
Det finns två typer av innehåll här: innehåll som levereras över en säker, krypterad HTTPS-anslutning och innehåll som levereras över en okrypterad HTTP-anslutning. När du använder HTTPS kan innehåll inte snokas på eller manipuleras under överföring, vilket är anledningen till att det är viktiga webbplatser som erbjuder kryptering när de hanterar finansiell information eller privat data.
Webben går över till säkra HTTPS-webbplatser. Om du ansluter till en äldre HTTP-webbplats utan kryptering varnar Google Chrome dig nu att dessa webbplatser är ”inte säkra”. Google döljer nu till och med ”https://”-indikatorn som standard, eftersom webbplatser bara ska vara säkra som standard. Och den nya HTTP/3-standarden kommer att ha inbyggd kryptering.
Men vissa webbsidor kan varken vara helt HTTPS eller helt HTTP. Vissa webbsidor levereras över en säker HTTPS-anslutning, men de drar in bilder, skript eller andra resurser via en okrypterad HTTP-anslutning. Sådana webbsidor har ”blandat innehåll” eftersom de inte är helt säkra. Själva webbsidan kunde inte manipuleras, men den kan dra in ett skript, bild eller iframe (en webbsida inuti en ”ram” på en annan webbsida) som kunde ha manipulerats.
Varför blandat innehåll är dåligt
Blandat innehåll är förvirrande. Du ser på något sätt en webbsida som är både säker och osäkra. Till exempel kan en vanligtvis säker och säker webbsida dra in en JavaScript-fil via HTTP. Det skriptet kan modifieras – till exempel om du är på ett offentligt Wi-Fi-nätverk som inte är pålitligt – för att göra många otäcka saker på webbsidan, från att övervaka dina tangenttryckningar till att infoga en spårningscookie.
Även om skript och iframes – ”aktivt innehåll” – är de farligaste, kan till och med bilder, videor och ljudblandat innehåll vara riskabla. Föreställ dig till exempel att du tittar på en säker aktiehandelswebbplats som tar in en bild av en akties historia via HTTP. Den bilden är inte säker – den kan ha manipulerats under transporten för att visa felaktiga detaljer. Dessutom, eftersom den levererades över en okrypterad anslutning, vet alla som snokar på data under överföring förmodligen vilken aktie du tittar på.
Det är en dålig idé att blanda sådant här innehåll. Om en webbsida använder HTTPS bör alla dess resurser också hämtas via HTTPS. Det är bara en historisk olycka – webben började med HTTP och webbplatser uppgraderades gradvis till HTTPS. Som de gjorde uppdaterade de inte alltid för att använda HTTPS-resurser överallt. Eller så kan de ha varit beroende av en tredjepartsresurs som inte stödde HTTPS vid den tiden.
Nu, med Google och andra webbläsarleverantörer som gör blandat innehåll svårare och avskräckande, kommer webbplatser att behöva städa upp saker så att deras webbsidor fortsätter att fungera som standard.
Vad exakt förändras i Chrome?
Chrome blockerar för närvarande blandade skript och iframes. I Chrome 80, som kommer att släppas till kanaler för tidiga releaser i januari 2020, kommer Chrome att blockera blandade ljud- och videoresurser – tekniskt sett kommer den att försöka ladda dem via en säker HTTPS-anslutning istället och blockera dem om de inte gör det. Blandade bilder kommer att laddas, men Chrome kommer att säga att webbsidan är ”Inte säker.” I Chrome 81 kommer Chrome att sluta läsa in blandade bilder också. Användare kan tillåta att det blandade innehållet laddas, men det gör det inte som standard.
Allt är en del av att göra webben säkrare. Googles blogginlägg säger att de förväntar sig att meddelandet ”Inte säkert” ”kommer att motivera webbplatser att migrera sina bilder till HTTPS.”
Hur Chrome låter dig avblockera blandat innehåll
Chrome blockerar redan vissa typer av blandat innehåll med en sköldikon i adressfältet och meddelandet ”Osäkert innehåll blockerat”. Du kan se hur det fungerar på detta exempelsida med blandat innehåll skapad av Google. Till exempel, för att avblockera ett skript med blandat innehåll, måste du klicka på en länk som heter ”Ladda osäkra skript.”
Om du går med på att köra det blandade innehållet ändras webbsidan från Säker till Inte Säker.
Google kommer att förenkla detta i Chrome 79, som kommer att släppas någon gång i december 2019. Du måste klicka på låsikonen till vänster om sidans adress, klicka på ”Webbplatsinställningar” och sedan avblockera blandat innehåll för den webbplatsen.
Alternativet blir mer begravt, men det är poängen: De flesta människor ska aldrig behöva aktivera blandat innehåll för en webbplats. Webbplatsutvecklare måste fixa sina webbplatser för att leverera resurser på ett säkert sätt. Det här alternativet säkerställer att alla som använder en äldre företagswebbplats kan fortsätta att komma åt den, även när blandat innehåll är inaktiverat för alla.
Om du behöver en webbplats som kräver detta, oroa dig inte: Google har inte meddelat ett datum när det tar bort alternativet att ladda blandat innehåll i Chrome. Googles webbläsare kommer att blockera allt blandat innehåll som standard men kommer att fortsätta erbjuda ett alternativ för att aktivera blandat innehåll under överskådlig framtid.
Hur är det med andra webbläsare?
Chrome är inte ensam. Firefox blockerar även blandat innehåll som skript och iframes och kräver att du klickar på en ”Inaktivera skyddet för tillfället” för att återaktivera den. Vi förväntar oss att Mozilla följer i Googles fotspår. Apples Safari är aggressiv om blockerar blandat innehållockså.
Och naturligtvis kommer Microsofts nya Edge-webbläsare att baseras på Chromium-koden som ligger till grund för Google Chrome och kommer att bete sig som Chrome.