Google Chrome ya bloquea algunos tipos de «contenido mixto» en la web. Ahora, Google Anunciado Se está volviendo aún más serio: a principios de 2020, Chrome bloqueará todo el contenido mixto de forma predeterminada, rompiendo algunas páginas web existentes. Esto es lo que eso significa.
Tabla de contenido
¿Qué es el contenido mixto?
Aquí hay dos tipos de contenido: contenido entregado a través de una conexión HTTPS segura y cifrada y contenido entregado a través de una conexión HTTP sin cifrar. Cuando usa HTTPS, el contenido no puede ser espiado ni manipulado en tránsito, razón por la cual sus sitios web críticos ofrecen encriptación cuando se trata de información financiera o datos privados.
La web se está moviendo hacia sitios web HTTPS seguros. Si se conecta a un sitio web HTTP anterior sin cifrado, Google Chrome ahora le advierte que estos sitios web «no son seguros». Google ahora incluso oculta el indicador «https: //» de forma predeterminada, ya que los sitios deberían ser seguros de forma predeterminada. Y el nuevo estándar HTTP / 3 tendrá encriptación incorporada.
Pero algunas páginas web no pueden ser completamente HTTPS ni completamente HTTP. Algunas páginas web se envían a través de una conexión HTTPS segura, pero extraen imágenes, scripts u otros recursos a través de una conexión HTTP no cifrada. Estas páginas web tienen «contenido mixto» porque no son completamente seguras. La página web en sí no se pudo alterar, pero puede incluir un script, una imagen o un iframe (una página web dentro de un «marco» en otra página web) que podría haber sido alterado.
Por qué el contenido mixto es malo
El contenido mixto es confuso. De alguna manera está viendo una página web que es segura y no segura. Por ejemplo, una página web normalmente segura y protegida podría incorporar un archivo JavaScript a través de HTTP. Ese script podría modificarse, por ejemplo, si está en una red Wi-Fi pública que no es confiable, para hacer muchas cosas desagradables en la página web, desde monitorear sus pulsaciones de teclas hasta insertar una cookie de seguimiento.
Si bien las secuencias de comandos y los iframes («contenido activo») son los más peligrosos, incluso las imágenes, los videos y el contenido con mezcla de audio pueden ser peligrosos. Por ejemplo, imagine que está viendo un sitio web de comercio de acciones seguro que muestra una imagen del historial de una acción a través de HTTP. Esa imagen no es segura; podría haber sido manipulada en tránsito para mostrar detalles incorrectos. Además, debido a que se entregó a través de una conexión no cifrada, cualquiera que esté fisgoneando en los datos en tránsito probablemente sepa qué acciones está buscando.
Es una mala idea mezclar contenido como este. Si una página web utiliza HTTPS, todos sus recursos también deben ingresarse a través de HTTPS. Es solo un accidente histórico: la web comenzó con HTTP y los sitios web se actualizaron gradualmente a HTTPS. Como lo hicieron, no siempre se actualizaron para usar recursos HTTPS en todas partes. O es posible que hayan dependido de un recurso de terceros que no admitía HTTPS en ese momento.
Ahora, con Google y otros proveedores de navegadores haciendo que el contenido mixto sea más difícil y desalentador, los sitios web tendrán que limpiar las cosas para que sus páginas web sigan funcionando de forma predeterminada.
¿Qué está cambiando exactamente en Chrome?
Actualmente, Chrome bloquea scripts e iframes mixtos. En Chrome 80, que se lanzará a los canales de lanzamiento anticipado en enero de 2020, Chrome bloqueará los recursos mixtos de audio y video; técnicamente, intentará cargarlos a través de una conexión HTTPS segura y bloquearlos si no lo hacen. Se cargarán imágenes mixtas, pero Chrome dirá que la página web es «No segura». En Chrome 81, Chrome también dejará de cargar imágenes mixtas. Los usuarios pueden permitir que se cargue el contenido mixto, pero no lo hará de forma predeterminada.
Todo es parte de hacer que la Web sea más segura. La publicación del blog de Google dice que espera que el mensaje «No seguro» «motive a los sitios web a migrar sus imágenes a HTTPS».
Cómo Chrome te permitirá desbloquear contenido mixto
Chrome ya bloquea algunos tipos de contenido mixto con un icono de escudo en la barra de direcciones y un mensaje de «Contenido inseguro bloqueado». Puedes ver cómo funciona en esto. página de ejemplo de contenido mixto creado por Google. Por ejemplo, para desbloquear una secuencia de comandos de contenido mixto, debe hacer clic en un enlace llamado «Cargar secuencias de comandos no seguras».
Si acepta ejecutar el contenido mixto, la página web cambia de Seguro a No seguro.
Google simplificará esto en Chrome 79, que se lanzará en algún momento de diciembre de 2019. Tendrá que hacer clic en el icono de candado a la izquierda de la dirección de la página, hacer clic en «Configuración del sitio» y luego desbloquear el contenido mixto para ese sitio.
La opción se vuelve más oculta, pero ese es el punto: la mayoría de las personas nunca deberían necesitar habilitar contenido mixto para un sitio. Los desarrolladores de sitios web necesitan arreglar sus sitios web para entregar recursos de forma segura. Esta opción garantizará que cualquier persona que utilice un sitio empresarial antiguo pueda seguir accediendo a él, incluso cuando el contenido mixto esté desactivado para todos.
Si necesita un sitio que lo requiera, no se preocupe: Google no ha anunciado una fecha en la que eliminará la opción para cargar contenido mixto en Chrome. El navegador web de Google bloqueará todo el contenido mixto de forma predeterminada, pero seguirá ofreciendo una opción para habilitar el contenido mixto en el futuro previsible.
¿Qué pasa con otros navegadores?
Chrome no está solo. Firefox también bloquea el contenido mixto, como scripts e iframes, y requiere que haga clic en «Desactiva la protección por ahora”Para volver a habilitarlo. Esperamos que Mozilla siga los pasos de Google. Safari de Apple es agresivo con bloquear contenido mixto, también.
Y, por supuesto, el nuevo navegador Edge de Microsoft se basará en el código Chromium que forma la base de Google Chrome y se comportará como Chrome.