O Google Chrome já bloqueia alguns tipos de “conteúdo misto” na web. Agora, o Google anunciou que está ficando ainda mais sério: a partir do início de 2020, o Chrome irá bloquear todo o conteúdo misturado por padrão, quebrando algumas páginas da web existentes. Aqui está o que isso significa.
Índice
O que é conteúdo misto?
Existem dois tipos de conteúdo aqui: Conteúdo entregue por meio de uma conexão HTTPS criptografada segura e conteúdo entregue por meio de uma conexão HTTP não criptografada. Quando você usa HTTPS, o conteúdo não pode ser espionado ou adulterado em trânsito, e é por isso que seus sites essenciais oferecem criptografia ao lidar com informações financeiras ou dados privados.
A web está se movendo para sites HTTPS seguros. Se você se conectar a um site HTTP mais antigo sem criptografia, o Google Chrome agora avisa que esses sites “não são seguros”. O Google agora até oculta o indicador “https: //” por padrão , já que os sites deveriam ser seguros por padrão. E o novo padrão HTTP / 3 terá criptografia integrada.
Mas algumas páginas da web não podem ser totalmente HTTPS nem totalmente HTTP. Algumas páginas da web são entregues por meio de uma conexão HTTPS segura, mas obtêm imagens, scripts ou outros recursos por meio de uma conexão HTTP não criptografada. Essas páginas da web têm “conteúdo misto” porque não são totalmente seguras. A página da web em si não pode ser adulterada, mas pode puxar um script, imagem ou iframe (uma página da web dentro de um “quadro” em outra página da web) que poderia ter sido adulterado.
Por que o conteúdo misto é ruim
O conteúdo misto é confuso. De alguma forma, você está visualizando uma página da web que é segura e não segura. Por exemplo, uma página da web geralmente segura e protegida pode puxar um arquivo JavaScript via HTTP. Esse script pode ser modificado – por exemplo, se você estiver em uma rede Wi-Fi pública que não seja confiável – para fazer muitas coisas desagradáveis na página da web, desde monitorar suas teclas digitadas até inserir um cookie de rastreamento.
Embora scripts e iframes – “conteúdo ativo” – sejam os mais perigosos, até mesmo imagens, vídeos e conteúdo com mixagem de áudio podem ser arriscados. Por exemplo, imagine que você está visualizando um site de negociação de ações seguro que obtém uma imagem do histórico de uma ação via HTTP. Essa imagem não é segura – ela pode ter sido adulterada no trânsito para mostrar detalhes incorretos. Além disso, como foi entregue por meio de uma conexão não criptografada, qualquer pessoa que bisbilhotar os dados em trânsito provavelmente sabe que estoque você está olhando.
É uma má ideia misturar conteúdo como este. Se uma página da web estiver usando HTTPS, todos os seus recursos também devem ser obtidos via HTTPS. É apenas um acidente histórico – a web começou com HTTP e os sites foram gradualmente atualizados para HTTPS. Como fizeram, eles nem sempre atualizaram para usar recursos HTTPS em todos os lugares. Ou eles podem ter dependido de um recurso de terceiros que não era compatível com HTTPS na época.
Agora, com o Google e outros fornecedores de navegador tornando o conteúdo misto mais difícil e desanimador, os sites terão que limpar as coisas para que suas páginas continuem funcionando por padrão.
O que exatamente está mudando no Chrome?
O Chrome atualmente bloqueia scripts e iframes mistos. No Chrome 80, que será lançado para canais de lançamento antecipado em janeiro de 2020, o Chrome bloqueará recursos mistos de áudio e vídeo – tecnicamente, ele tentará carregá-los por meio de uma conexão HTTPS segura e bloqueá-los se não o fizerem. Imagens mistas serão carregadas, mas o Chrome dirá que a página da web é “Não segura”. No Chrome 81, o Chrome irá parar de carregar imagens mistas também. Os usuários podem permitir que o conteúdo misto carregue, mas isso não acontecerá por padrão.
Tudo isso faz parte do processo de tornar a web mais segura. A postagem do blog do Google diz que espera que a mensagem “Não seguro” “motive os sites a migrar suas imagens para HTTPS”.
Como o Chrome permitirá que você desbloqueie conteúdo misto
O Chrome já bloqueia alguns tipos de conteúdo misturado com um ícone de escudo na barra de endereço e uma mensagem “Conteúdo inseguro bloqueado”. Você pode ver como isso funciona nesta página de exemplo de conteúdo misto criada pelo Google. Por exemplo, para desbloquear um script de conteúdo misto, você deve clicar em um link chamado “Carregar scripts não seguros”.
Se você concordar em executar o conteúdo misto, a página da web muda de Segura para Não Segura.
O Google simplificará isso no Chrome 79, que será lançado em dezembro de 2019. Você terá que clicar no ícone de cadeado à esquerda do endereço da página, clicar em “Configurações do site” e, em seguida, desbloquear o conteúdo misturado para esse site.
A opção fica mais escondida, mas esse é o ponto: a maioria das pessoas nunca deve precisar habilitar conteúdo misto para um site. Os desenvolvedores de sites precisam consertar seus sites para fornecer recursos com segurança. Essa opção garantirá que qualquer pessoa que use um site comercial antigo possa continuar acessando-o, mesmo quando o conteúdo mixado estiver desabilitado para todos.
Se você precisa de um site que requer isso, não se preocupe: o Google não anunciou uma data em que removerá a opção de carregar conteúdo misto no Chrome. O navegador da web do Google irá bloquear todo o conteúdo misturado por padrão, mas continuará oferecendo uma opção para habilitar o conteúdo misturado em um futuro próximo.
E quanto a outros navegadores?
O Chrome não está sozinho. O Firefox também bloqueia conteúdo misto, como scripts e iframes, e exige que você clique na configuração “ Desativar proteção por enquanto ” para reativá-lo. Esperamos que a Mozilla siga os passos do Google. O Safari da Apple também é agressivo quanto ao bloqueio de conteúdo misto .
E, é claro, o novo navegador Edge da Microsoft será baseado no código Chromium que forma a base do Google Chrome e se comportará como o Chrome.