Google Chrome ya está bloqueando ciertos tipos de «contenido mixto» en la web. Ahora google anuncio Se pone aún más serio: desde principios de 2020, Chrome bloqueará todo el contenido mixto de forma predeterminada, rompiendo algunas páginas web existentes. Esto es lo que significa.
¿Qué es contenido mixto?
Aquí hay dos tipos de contenido: contenido entregado a través de una conexión HTTPS segura y cifrada y contenido entregado a través de una conexión HTTP sin cifrar. Cuando se usa HTTPS, el contenido no se puede espiar ni manipular en tránsito, por lo que es esencial que los sitios web ofrezcan cifrado cuando se trata de información financiera o datos privados.
La web avanza hacia sitios web HTTPS seguros. Si se conecta a un sitio web HTTP antiguo sin cifrado, Google Chrome ahora le advertirá que esos sitios web «no son seguros». Google ahora incluso oculta la marca «https: //» de forma predeterminada, porque los sitios deberían ser seguros de forma predeterminada. Y el nuevo estándar HTTP / 3 tendrá cifrado integrado.
Pero algunas páginas web no pueden ser completamente HTTPS o completamente HTTP. Algunas páginas web se entregan a través de una conexión HTTPS segura, pero extraen imágenes, scripts u otros recursos a través de una conexión HTTP sin cifrar. Estas páginas web tienen «contenido mixto» porque no son completamente seguras. La página web en sí no se puede alterar, pero puede extraer un script, una imagen o un iframe (una página web dentro de un «marco» en otra página web) que podría haber sido alterado.
Por qué el contenido mixto es malo
El contenido mixto es confuso. En cierto modo, está viendo una página web segura y no segura. Por ejemplo, una página web generalmente segura y protegida podría extraer un archivo JavaScript a través de HTTP. Esta secuencia de comandos se puede modificar, por ejemplo, si se encuentra en una red Wi-Fi pública que no es de confianza, para hacer muchas cosas desagradables en la página web, desde monitorear sus pulsaciones de teclas hasta insertar claves. ‘Una cookie de seguimiento.
Si bien los scripts y los iframes («contenido activo») son los más peligrosos, incluso las imágenes, los videos y el audio mezclados pueden ser riesgosos. Por ejemplo, imagine que está visitando un sitio web seguro de comercio de acciones que extrae una imagen del historial de una acción a través de HTTP. Esta imagen no es segura. Es posible que haya sido manipulado en tránsito para mostrar detalles incorrectos. Además, dado que se entregó a través de una conexión no cifrada, es probable que cualquiera que esté fisgoneando en los datos en tránsito sepa qué acciones está buscando.
Es una mala idea mezclar contenido como este. Si una página web usa HTTPS, todos sus recursos también deben obtenerse a través de HTTPS. Esto es solo un accidente histórico: la web comenzó con HTTP y los sitios web se han trasladado gradualmente a HTTPS. Como lo hicieron, no siempre se actualizaron para usar recursos HTTPS en todas partes. O es posible que hayan dependido de un recurso de terceros que no admitía HTTPS en ese momento.
Ahora, con Google y otros proveedores de navegadores haciendo que el contenido combinado sea más difícil y abrumador, los sitios web tendrán que limpiar las cosas para que sus páginas web sigan funcionando de forma predeterminada.
¿Qué está cambiando exactamente en Chrome?
Actualmente, Chrome bloquea scripts e iframes mixtos. En Chrome 80, que estará disponible en las primeras versiones de los canales en enero de 2020, Chrome bloqueará los recursos mixtos de audio y video. Técnicamente, intentará cargarlos a través de una conexión HTTPS segura y bloquearlos si no lo hacen. Se cargarán imágenes mixtas, pero Chrome informará que la página web no es segura. En Chrome 81, Chrome también dejará de cargar imágenes mixtas. Los usuarios pueden permitir que se cargue contenido mixto, pero este no es el caso por defecto.
Todo es parte de hacer que la Web sea segura. La publicación del blog de Google dice que espera que el mensaje «No seguro» «haga que los sitios web migren sus imágenes a HTTPS».
Cómo Chrome te permitirá desbloquear contenido mixto
Chrome ya está bloqueando algunos tipos de contenido mixto con un icono de escudo en la barra de direcciones y un mensaje de «Contenido no seguro bloqueado». Puedes ver cómo funciona en esto. página de ejemplo de contenido mixto creado por Google. Por ejemplo, para desbloquear una secuencia de comandos de contenido mixto, debe hacer clic en un enlace llamado «Cargar secuencias de comandos no seguras».
Si acepta ejecutar contenido mixto, la página web cambia de segura a insegura.
Google simplificará esto en Chrome 79, que se lanzará en algún momento de diciembre de 2019. Deberá hacer clic en el icono de candado a la izquierda de la dirección de la página, hacer clic en «Configuración del sitio» y luego desbloquear el contenido mixto para ese sitio.
La opción se esconde más, pero ese es el punto: la mayoría de las personas nunca deberían necesitar habilitar contenido mixto para un sitio. Los desarrolladores de sitios web necesitan reparar sus sitios web para entregar recursos de forma segura. Esta opción garantizará que cualquier persona que utilice un sitio corporativo antiguo pueda seguir accediendo a él, incluso si el contenido mixto está deshabilitado para todos.
Si necesita un sitio que lo requiera, no se preocupe: Google no ha anunciado una fecha para eliminar la opción de carga de contenido mixto en Chrome. El navegador web de Google bloqueará todo el contenido mixto de forma predeterminada, pero seguirá ofreciendo una opción para habilitar el contenido mixto en el futuro previsible.
¿Qué pasa con otros navegadores?
Chrome no está solo. Firefox también bloquea contenido mixto, como scripts e iframes, y te obliga a hacer clic en un «Desactiva la protección por ahorapara reactivarlo. Esperamos que Mozilla siga los pasos de Google. Safari de Apple es agresivo bloquear contenido mixto, demasiado.
Y, por supuesto, el nuevo navegador Edge de Microsoft se basará en el código Chromium que forma la base de Google Chrome y se comportará como Chrome.