Разработчики Chrome заявили о постепенном отключении возможности загрузки смешанного трафика в их браузере.
Что такое HTTP и HTTPS
Протокол HTTP, как механизм доступа к документам в интернете, был разработан в 1990 году. Он позволяет обмениваться данными между приложением (браузер), которое обеспечивает доступ к данным, и веб-сервером, хранящим данные. С помощью этого протокола и работает интернет, позволяя браузерам загружать веб-страницы.
В 1994 году появилась модификация этого протокола – HTTPS. Это тот же самый протокол HTTP, но работающий через шифрованные транспортные механизмы (например, через SSL, который обеспечивает защищенный обмен данными). Протокол HTTPS более защищен, т.к. данные при передаче шифруются.
Проблема смешанного трафика
По статистике разработчиков, в последние годы почти 90% трафика в браузере Chrome проходит по защищенному HTTPS-соединению. Но есть так называемый смешанный трафик, когда подключение к веб-странице осуществляется по HTTPS, но данные на самой странице (такие как изображения, видео, таблицы стилей, сценарии, фреймы) загружаются через незащищенное HTTP-соединение. И даже если первоначальный запрос был защищен через HTTPS, для отображения подресурсов страницы используются и HTTP, и HTTPS.
При загрузке HTTPS-страниц многие типы смешанного контента, такие как сценарии и встроенные фреймы, по умолчанию блокируются браузерами. Но изображения, аудио и видео по-прежнему могут загружаться по HTTP, что угрожает конфиденциальности и безопасности пользователей. Например, злоумышленник может изменить смешанное изображение биржевого графика, чтобы ввести инвесторов в заблуждение, или вставить отслеживающий файл cookie в смешанную загрузку ресурсов.
Схема получения смешанного трафика
Для безопасности современные браузеры отображают предупреждения об этом типе контента, чтобы указать пользователю, что эта страница содержит небезопасные ресурсы.
Что предлагают разработчики Chrome
Для окончательного перевода смешанного трафика на HTTPS в ряде последующих обновлений, начиная с декабрьского Chrome 79, смешанный трафик начнет блокироваться по умолчанию. Чтобы свести проблемы к минимуму, браузер будет автоматически преобразовывать смешанные ресурсы в HTTPS, чтобы сайты продолжали работать, если их содержимое уже доступно через такой протокол. В следующих релизах Chrome смешанный контент, который не может быть загружен через HTTPS, будет блокироваться уже без возможности настройки со стороны браузера.
В какие сроки и что делать разработчикам HTTPS-страниц:
- В декабре 2019 года Chrome 79 начнет по умолчанию блокировать HTTP-ресурсы на HTTPS-страницах. Но с помощью настроек для конкретных сайтов смешанный контент можно будет разблокировать.
- В январе 2020 года Chrome 80 автоматически преобразует в HTTPS все смешанные аудио и видео ресурсы и автоматически заблокирует их, если они не смогут загружаться через HTTPS.
- Наконец, в феврале 2020 года Chrome 81 автоматически преобразует в HTTPS все смешанные изображения, а также, как и в случае аудио и видео, заблокирует те, которые не смогут загружаться по HTTPS.
Для облегчения миграции сайта на HTTPS можно воспользоваться рекомендациями от Google Developers
Подробнее о планируемых изменениях Chrome в блоге безопасности Google