Chrome przestanie wyświetlać zasoby HTTP. Czas na pełną przesiadkę na HTTPS
Chrome bierze się za zasoby HTTP. Deweloperzy mają czas do lutego, by dostosować się do zmian.
Google robi kolejny krok w celu wyeliminowania z internetu stron HTTP na rzecz bezpieczniejszego protokołu HTTPS. Dotychczas Chrome wyświetlał kłódkę na stronach HTTPS, co oznaczało, że informacje przesyłane i odbierane na takich stronach są prywatne i szyfrowane. Taką kłódkę zobaczycie m.in. wchodząc na Spider’s Web.
Istniał jednak pewien problem. Witryny wykorzystujące HTTPS mogły wyświetlać niektóre zasoby z serwerów HTTP i nadal mieć kłódkę gwarantującą bezpieczeństwo. Niestety zasoby mogły być niebezpieczne. Chodzi o obrazki, filmy, pliki audio i tzw. „mieszaną zawartość”. To właśnie ten ostatni typ elementu mógł potencjalnie być niebezpieczny.
Chrome idzie na całość: koniec zasobami HTTP.
Na blogu Chrome'a czytamy, że przeglądarka przestanie wyświetlać kłódkę bezpieczeństwa na stronach HTTPS, które (świadomie lub nie) korzystają z zasobów kryjących się pod HTTP. Począwszy od Chrome’a w wersji 79, przeglądarka będzie domyślnie blokować zawartość wyświetlaną z HTTP, choć użytkownik będzie mógł ją wyświetlić na własne życzenie.
Chrome 80, który pojawi się w styczniu, będzie wymuszał automatyczną zmianę protokołu wyświetlanych zasobów audio i wideo z HTTP na HTTPS. Jeśli taki zabieg się nie uda, materiały nie będą wyświetlone. W lutym, wraz z Chrome’em 81, to samo będzie dotyczyło zasobów obrazkowych.
Po tych zmianach użytkownicy mają być bezpieczni, kiedy widzą kłódkę na pasku adresu w Chrome.
Począwszy od lutego i od Chrome'a w wersji 81 nie będzie już żadnej furtki dla materiałów HTTP kryjących się pod kłódką. Obecnie, według statystyk Google’a, użytkownicy Chrome’a 90 proc. czasu spędzają na stronach HTTPS, ale Google ewidentnie dąży do tego, by wyeliminować pozostałe 10 proc.
Protokół HTTPS to zabezpieczona wersja HTTP, dzięki czemu pliki przesyłane między serwerem a przeglądarką są szyfrowane z wykorzystaniem certyfikatu SSL lub TLS. Ma to gwarantować bezpieczeństwo danych. Jest to szczególnie istotne na stronach banków i sklepów, a także wszędzie tam, gdzie strona prosi o dane użytkownika. Obecnie większość stron, nawet jeśli nie mają opcji logowania, działa już w oparciu o HTTPS.
