Google начинает блокировку смешанного контента

Google продолжает ужесточать условия функционирования сайтов, не использующих протокол HTTPS. Подобные ресурсы уже стали помечаться как небезопасные, и доля защищённого трафика успешно выросла до 90%. Теперь блокировке будет подлежать смешанный контент, источником которого являются небезопасные страницы.

По данным сервиса Яндекс.Радар, браузер Google Chrome является самым популярным в России (более 40% пользователей).

Аналитика ирландской компании StatCounter подтверждает, что и в остальном мире Chrome находится в большом отрыве от своих конкурентов — им пользуется более 65% юзеров.

Подтверждая своё лидерство, Google стремится максимально обезопасить пользователей собственного браузера Chrome. В компании анонсировали программу мероприятий, которые ещё серьёзнее ограничат работу сайтов без TLS-сертификатов. Речь идёт о блокировке смешанного контента, т.е. элементов (видео, аудио, картинок), которые передаются по HTTP-протоколу с незащищённых ресурсов. Такой трафик может пострадать от MiTM-атак. К тому же страницу, использующую смешанный контент, нельзя однозначно квалифицировать ни как безопасную, ни как небезопасную. Это серьёзно угрожает конфиденциальности пользователей, поэтому постепенно передача сомнительных элементов станет невозможной.

Первым этапом, начиная с 79-й версии браузера в декабре 2019 года, станет блокировка по умолчанию. Это означает, что пользователи больше не увидят картинки/скрипты/шрифты/видео, которые загружаются по HTTP. В настройках отдельных сайтов можно будет самостоятельно разблокировать смешанный контент.

Вторым этапом (в версии Chrome 80 с января 2020 года) станет автоматический перевод смешанных ресурсов на HTTPS с сохранением возможности разблокировки отдельных ресурсов. Пока не будут блокироваться только изображения, но и они станут помечаться как небезопасные.

Версия Chrome 81 (с февраля 2020 года) станет максимально строгой: изображения тоже принудительно переведут на HTTPS и будут блокировать, если они не смогут загружаться по безопасному протоколу.

Как подготовиться к нововведениям

• Если сайт переведён на HTTPS и в адресной строке браузера помечен пиктограммой в виде замка, опасаться нечего — смешанного контента на нём нет, и заблокирован он не будет.
• Чтобы ликвидировать смешанный контент, убедитесь, что все ресурсы сайта загружаются через HTTPS, обновите их URL. Важно понимать, что тут речь только о картинках, скриптах, шрифтах и подобных элементах, которые загружаются с других доменов. Обычные HTTP-ссылки на другие страницы/сайты менять не надо.
• Для аудита ресурса рекомендуется использовать инструменты Chrome для разработчика — например, Lighthouse. Помогут сторонние плагины и утилиты — например, SSL Insecure Content Fixer и Cloudflare Support.

Поскольку Google не работает в отрыве от профессионального сообщества, нужно приготовиться к тому, что с 2020 года смешанный контент будет блокироваться всеми браузерами, а не только Chrome.