par Martin Brinkmann le novembre 06, 2019 dans Google Chrome
1 commentaire
Google Chrome va bientôt bloquer tout contenu mixte par défaut. Google a révélé un plan, en octobre, qui détaille la façon dont la société navigateur Chrome poignée de contenu mixte dans les prochaines versions.
Contenu mixte, se réfère à des sites qui se chargent via HTTPS, mais l’utilisation de HTTP ressources. Un exemple simple est un site qui charge une image via HTTP, tandis que la page elle-même est accessible via HTTPS. Chrome bloque les scripts et les iframes par défaut s’ils sont chargés via HTTP sur des sites HTTPS, mais permet de contenus statiques telles que l’affichage des images.
Le comportement menace la vie privée et la sécurité des utilisateurs en fonction de Google comme “un attaquant pourrait altérer une image contrastée d’un graphique boursier pour induire les investisseurs en erreur, ou injecter un cookie de suivi dans une variété de ressources de la charge”.
Départ avec Chrome 79 Stable, qui devrait être publié en décembre 2019, Chrome sera progressivement mise à niveau ou de bloquer un contenu mixte qu’il rencontre.
La société a annoncé les délais suivants:
- Chrome 79 — Nouvelle option dans les Paramètres du Site pour débloquer du contenu mixte dans Google Chrome pour des sites spécifiques. Cliquez simplement sur l’icône en face de l’adresse et de sélectionner les Paramètres de Site à partir de l’interface qui s’ouvre; Chrome charge les Paramètres du Site pour le site en question. Localiser un Contenu non sécurisé pour le changer de Demander ou Autoriser pour ce site particulier.
- Chrome 80 — Audio et Vidéo des ressources sera mis à niveau vers HTTPS automatiquement si possible. Si cela n’est pas possible, ils seront bloqués.
- Chrome 80 — Mélangé les images se charge mais Chrome affiche un “non sécurisé” étiquette dans la barre d’adresse.
- Chrome 81 — Mélangé les images seront mis à niveau vers HTTPS si possible ou bloqué si cela n’est pas possible.
Les utilisateurs de Chrome peut utiliser le contenu non sécurisé paramètre de site pour permettre bloqué ressources sur un site particulier.
Mozilla, créateur de Firefox, a mis en œuvre une nouvelle préférence dans Firefox 60 à permettre le mélange contenu dans le navigateur. Il est désactivé par défaut, cependant.
L’impact
La modification a un impact sur l’image, la vidéo, l’audio et les ressources qui sont chargés via HTTP actuellement sur les sites HTTPS. Chrome tentatives de mise à niveau de ces ressources pour HTTPS automatiquement mais qui ne fonctionne que si le site de l’ressources qui sont chargés de le prend en charge (ce qui signifie qu’il prend en charge les protocoles HTTP et HTTPS). Si ce n’est pas le cas, les ressources ne seront pas chargés en Chrome 80 (vidéo/audio) et Chrome 81 (images).
Chrome obtient une nouvelle option dans la version 79 pour permettre à ces ressources à partir de chargement si elle est bloquée par le navigateur; c’est fait pour s’assurer que le contenu ne se brise pas sur certains sites qui n’ont pas encore été mis à niveau vers HTTPS entièrement.
Maintenant, Vous: avez-vous la rencontre de nombreuses HTTP / mixte sites de contenu dans votre journée à jour de la navigation?