Το Google Chrome αποκλείει ήδη ορισμένους τύπους “μεικτού περιεχομένου” στον ιστό. Τώρα, Google ανακοινώθηκε γίνεται ακόμα πιο σοβαρό: Από τις αρχές του 2020, το Chrome θα αποκλείει όλο το μικτό περιεχόμενο από προεπιλογή, σπάζοντας ορισμένες υπάρχουσες ιστοσελίδες. Να τι σημαίνει αυτό.
Πίνακας περιεχομένων
Τι είναι το Μικτό Περιεχόμενο;
Υπάρχουν δύο τύποι περιεχομένου εδώ: Περιεχόμενο που παραδίδεται μέσω ασφαλούς, κρυπτογραφημένης σύνδεσης HTTPS και περιεχόμενο που παραδίδεται μέσω μη κρυπτογραφημένης σύνδεσης HTTP. Όταν χρησιμοποιείτε το HTTPS, το περιεχόμενο δεν μπορεί να υποκλαπεί ή να παραβιαστεί κατά τη μεταφορά, γι’ αυτό είναι πολύ σημαντικό οι ιστότοποι να προσφέρουν κρυπτογράφηση όταν ασχολούνται με οικονομικές πληροφορίες ή ιδιωτικά δεδομένα.
Ο ιστός μετακινείται σε ασφαλείς ιστότοπους HTTPS. Εάν συνδεθείτε σε έναν παλαιότερο ιστότοπο HTTP χωρίς κρυπτογράφηση, το Google Chrome σάς προειδοποιεί τώρα ότι αυτοί οι ιστότοποι “δεν είναι ασφαλείς”. Η Google αποκρύπτει τώρα ακόμη και την ένδειξη “https://” από προεπιλογή, καθώς οι ιστότοποι θα πρέπει απλώς να είναι ασφαλείς από προεπιλογή. Και το νέο πρότυπο HTTP/3 θα έχει ενσωματωμένη κρυπτογράφηση.
Ωστόσο, ορισμένες ιστοσελίδες δεν μπορούν να είναι ούτε εξ ολοκλήρου HTTPS ούτε εντελώς HTTP. Ορισμένες ιστοσελίδες παραδίδονται μέσω ασφαλούς σύνδεσης HTTPS, αλλά αντλούν εικόνες, σενάρια ή άλλους πόρους μέσω μιας μη κρυπτογραφημένης σύνδεσης HTTP. Τέτοιες ιστοσελίδες έχουν “μεικτό περιεχόμενο” επειδή δεν είναι πλήρως ασφαλείς. Δεν ήταν δυνατή η παραβίαση της ίδιας της ιστοσελίδας, αλλά μπορεί να τραβάει ένα σενάριο, μια εικόνα ή ένα iframe (μια ιστοσελίδα μέσα σε ένα “πλαίσιο” σε άλλη ιστοσελίδα) που θα μπορούσε να έχει παραβιαστεί.
Γιατί το μικτό περιεχόμενο είναι κακό
Το μικτό περιεχόμενο προκαλεί σύγχυση. Κατά κάποιο τρόπο βλέπετε μια ιστοσελίδα που είναι και ασφαλής και όχι ασφαλής. Για παράδειγμα, μια συνήθως ασφαλής και ασφαλής ιστοσελίδα θα μπορούσε να τραβήξει ένα αρχείο JavaScript μέσω HTTP. Αυτό το σενάριο θα μπορούσε να τροποποιηθεί —για παράδειγμα, εάν βρίσκεστε σε ένα δημόσιο δίκτυο Wi-Fi που δεν είναι αξιόπιστο— για να κάνετε πολλά άσχημα πράγματα στην ιστοσελίδα, από την παρακολούθηση των πληκτρολογήσεων έως την εισαγωγή ενός cookie παρακολούθησης.
Ενώ τα σενάρια και τα iframe – το “ενεργό περιεχόμενο” – είναι τα πιο επικίνδυνα, ακόμη και οι εικόνες, τα βίντεο και το περιεχόμενο με ανάμειξη ήχου μπορεί να είναι επικίνδυνα. Για παράδειγμα, φανταστείτε ότι βλέπετε έναν ασφαλή ιστότοπο διαπραγμάτευσης μετοχών που αντλεί μια εικόνα του ιστορικού μιας μετοχής μέσω HTTP. Αυτή η εικόνα δεν είναι ασφαλής—θα μπορούσε να έχει παραποιηθεί κατά τη μεταφορά για να εμφανιστούν εσφαλμένες λεπτομέρειες. Επίσης, επειδή παραδόθηκε μέσω μη κρυπτογραφημένης σύνδεσης, όποιος κατασκοπεύει τα δεδομένα κατά τη μεταφορά πιθανότατα γνωρίζει τι απόθεμα ψάχνετε.
Είναι κακή ιδέα να συνδυάζετε περιεχόμενο σαν αυτό. Εάν μια ιστοσελίδα χρησιμοποιεί HTTPS, όλοι οι πόροι της θα πρέπει να αντληθούν μέσω HTTPS επίσης. Είναι απλώς ένα ιστορικό ατύχημα—ο ιστός ξεκίνησε με HTTP και οι ιστότοποι σταδιακά αναβαθμίστηκαν σε HTTPS. Όπως και έκαναν, δεν ενημερώνονταν πάντα για να χρησιμοποιούν πόρους HTTPS παντού. Ή, μπορεί να εξαρτιόνταν από έναν πόρο τρίτου μέρους που δεν υποστήριζε HTTPS εκείνη τη στιγμή.
Τώρα, με την Google και άλλους προμηθευτές προγραμμάτων περιήγησης να κάνουν το μικτό περιεχόμενο πιο δύσκολο και αποθαρρυντικό, οι ιστότοποι θα πρέπει να καθαρίσουν τα πράγματα, ώστε οι ιστοσελίδες τους να συνεχίσουν να λειτουργούν από προεπιλογή.
Τι ακριβώς αλλάζει στο Chrome;
Επί του παρόντος, το Chrome αποκλείει μικτά σενάρια και iframe. Στο Chrome 80, το οποίο θα κυκλοφορήσει σε κανάλια πρώιμης κυκλοφορίας τον Ιανουάριο του 2020, το Chrome θα αποκλείσει μεικτούς πόρους ήχου και βίντεο — τεχνικά, θα προσπαθήσει να τους φορτώσει μέσω μιας ασφαλούς σύνδεσης HTTPS και να τους αποκλείσει εάν δεν το κάνουν. Οι μικτές εικόνες θα φορτωθούν, αλλά το Chrome θα πει ότι η ιστοσελίδα είναι “Μη ασφαλής”. Στο Chrome 81, το Chrome θα σταματήσει επίσης να φορτώνει μικτές εικόνες. Οι χρήστες μπορούν να επιτρέψουν τη φόρτωση του μικτού περιεχομένου, αλλά όχι από προεπιλογή.
Όλα είναι μέρος του να κάνουμε τον ιστό πιο ασφαλή. Η ανάρτηση ιστολογίου της Google αναφέρει ότι αναμένει ότι το μήνυμα «Μη ασφαλές» «θα παρακινήσει τους ιστότοπους να μετεγκαταστήσουν τις εικόνες τους στο HTTPS».
Πώς θα σας επιτρέψει το Chrome να ξεμπλοκάρετε μικτό περιεχόμενο
Το Chrome αποκλείει ήδη ορισμένους τύπους μικτού περιεχομένου με ένα εικονίδιο ασπίδας στη γραμμή διευθύνσεων και ένα μήνυμα “Αποκλείστηκε το μη ασφαλές περιεχόμενο”. Μπορείτε να δείτε πώς λειτουργεί σε αυτό παράδειγμα σελίδας μικτού περιεχομένου δημιουργήθηκε από την Google. Για παράδειγμα, για να ξεμπλοκάρετε ένα σενάριο μικτού περιεχομένου, πρέπει να κάνετε κλικ σε έναν σύνδεσμο που ονομάζεται “Φόρτωση μη ασφαλών σεναρίων”.
Εάν συμφωνείτε να εκτελέσετε το μικτό περιεχόμενο, η ιστοσελίδα αλλάζει από Ασφαλής σε Μη Ασφαλής.
Η Google θα το απλοποιήσει στο Chrome 79, το οποίο θα κυκλοφορήσει κάποια στιγμή τον Δεκέμβριο του 2019. Θα πρέπει να κάνετε κλικ στο εικονίδιο κλειδώματος στα αριστερά της διεύθυνσης της σελίδας, να κάνετε κλικ στις “Ρυθμίσεις ιστότοπου” και, στη συνέχεια, να καταργήσετε τον αποκλεισμό μικτού περιεχομένου για αυτόν τον ιστότοπο.
Η επιλογή γίνεται πιο θαμμένη, αλλά αυτό είναι το θέμα: Οι περισσότεροι άνθρωποι δεν θα πρέπει ποτέ να χρειάζεται να ενεργοποιήσουν το μικτό περιεχόμενο για έναν ιστότοπο. Οι προγραμματιστές ιστοτόπων πρέπει να επιδιορθώσουν τους ιστότοπούς τους για να παρέχουν πόρους με ασφάλεια. Αυτή η επιλογή θα διασφαλίσει ότι οποιοσδήποτε χρησιμοποιεί έναν παλαιότερο ιστότοπο επιχείρησης μπορεί να συνεχίσει να έχει πρόσβαση σε αυτόν, ακόμη και όταν το μικτό περιεχόμενο είναι απενεργοποιημένο για όλους.
Εάν χρειάζεστε έναν ιστότοπο που το απαιτεί αυτό, μην ανησυχείτε: η Google δεν έχει ανακοινώσει ημερομηνία κατά την οποία θα καταργήσει την επιλογή φόρτωσης μικτού περιεχομένου στο Chrome. Το πρόγραμμα περιήγησης ιστού της Google θα αποκλείει όλο το μικτό περιεχόμενο από προεπιλογή, αλλά θα συνεχίσει να προσφέρει μια επιλογή ενεργοποίησης μικτού περιεχομένου για το άμεσο μέλλον.
Τι γίνεται με άλλα προγράμματα περιήγησης;
Ο Chrome δεν είναι μόνος. Ο Firefox αποκλείει επίσης μικτό περιεχόμενο, όπως σενάρια και iframes, και απαιτεί να κάνετε κλικ σε ένα “Απενεργοποιήστε την προστασία προς το παρόν” ρύθμιση για επανενεργοποίηση. Αναμένουμε από τη Mozilla να ακολουθήσει τα βήματα της Google. Το Safari της Apple είναι επιθετικό αποκλεισμός μικτού περιεχομένου, πολύ.
Και, φυσικά, το νέο πρόγραμμα περιήγησης Edge της Microsoft θα βασίζεται στον κώδικα Chromium που αποτελεί τη βάση για το Google Chrome και θα συμπεριφέρεται όπως ο Chrome.