¿Qué es “contenido mixto” y por qué Chrome lo bloquea?


Google Chrome ya está bloqueando ciertos tipos de “contenido mixto” en la web. Ahora Google anuncio Se vuelve aún más serio: a principios de 2020, Chrome bloqueará todo el contenido mixto de forma predeterminada, rompiendo algunas páginas web existentes. Esto es lo que significa.

¿Qué es contenido mixto?

Aquí hay dos tipos de contenido: contenido entregado a través de una conexión HTTPS segura y cifrada y contenido entregado a través de una conexión HTTP sin cifrar. Cuando se utiliza HTTPS, el contenido no se puede espiar ni manipular en tránsito, por lo que sus sitios web críticos ofrecen cifrado cuando se trata de información financiera o datos privados.

La web viaja a sitios web HTTPS seguros. Si se conecta a un sitio web HTTP antiguo sin cifrado, Google Chrome ahora le advierte que esos sitios web “no son seguros”. Google ahora incluso oculta la marca “https: //” de forma predeterminada, ya que los sitios simplemente deben ser seguros de forma predeterminada. Y el nuevo estándar HTTP / 3 tendrá cifrado integrado.

Pero algunas páginas web no pueden ser completamente HTTPS o completamente HTTP. Algunas páginas web se entregan a través de una conexión HTTPS segura, pero recuperan imágenes, scripts u otros recursos a través de una conexión HTTP no cifrada. Estas páginas web tienen “contenido mixto” porque no son completamente seguras. La página web en sí no se pudo alterar, pero puede extraer un script, una imagen o un iframe (una página web dentro de un “marco” en otra página web) que podría haber sido falsificado.

Por qué el contenido mixto es malo


El contenido mixto es confuso. De alguna manera, está viendo una página web que es segura e insegura. Por ejemplo, una página web generalmente segura y protegida puede extraer un archivo JavaScript a través de HTTP. Esta secuencia de comandos se puede modificar, por ejemplo, si está en una red Wi-Fi pública que no es de confianza, para hacer muchas cosas desagradables en la página web, desde monitorear sus pulsaciones de teclas hasta insertar claves. ‘Una cookie de seguimiento.

Aunque los scripts y los iframes (“contenido activo”) son los más peligrosos, incluso las imágenes, los videos y el contenido de audio mixto pueden ser riesgosos. Por ejemplo, imagine que está visitando un sitio web seguro de negociación de acciones que extrae una imagen del historial de una acción a través de HTTP. Esta imagen no es segura. Podría haber sido manipulado en tránsito para mostrar detalles incorrectos. Además, dado que se entregó a través de una conexión no cifrada, cualquiera que espíe los datos en tránsito probablemente sepa qué acciones está buscando.

En relación :  ¿Qué es Windows 10 Meet ahora y cómo eliminarlo?

Es una mala idea mezclar contenido como este. Si una página web usa HTTPS, todos sus recursos también deben obtenerse a través de HTTPS. Esto es solo un accidente histórico: la web comenzó con HTTP y los sitios web se están actualizando gradualmente a HTTPS. Como lo hicieron, no siempre se actualizaron para usar recursos HTTPS en todas partes. O es posible que hayan dependido de un recurso de terceros que no admitía HTTPS en ese momento.

Ahora, con Google y otros proveedores de navegadores haciendo que el contenido combinado sea más difícil y desalentador, los sitios web tendrán que limpiar las cosas para que sus páginas web sigan funcionando de forma predeterminada.

¿Qué está cambiando exactamente en Chrome?

Actualmente, Chrome bloquea scripts e iframes mixtos. En Chrome 80, que llegará a los primeros canales de lanzamiento en enero de 2020, Chrome bloqueará los activos mixtos de audio y video; técnicamente, intentará cargarlos a través de una conexión HTTPS segura y bloquearlos si no lo hacen. Se cargarán las imágenes mezcladas, pero Chrome indicará que la página web no es segura. En Chrome 81, Chrome también dejará de cargar imágenes mixtas. Los usuarios pueden permitir que se cargue contenido mixto, pero este no es el caso por defecto.

Todo es parte de hacer que la Web sea segura. La publicación del blog de Google dice que espera que el mensaje “No seguro” “engañe a los sitios web para que migren sus imágenes a HTTPS”.

Cómo Chrome te permitirá desbloquear contenido mixto

El mensaje de contenido inseguro bloqueado en Google Chrome.

Chrome ya está bloqueando algunos tipos de contenido mixto con un icono de escudo en la barra de direcciones y un mensaje de “Contenido no seguro bloqueado”. Puedes ver como funciona página de ejemplo de contenido mixto creado por Google. Por ejemplo, para desbloquear una secuencia de comandos de contenido mixto, debe hacer clic en un enlace llamado “Cargar secuencias de comandos inseguras”.

Si acepta ejecutar contenido mixto, la página web cambia de Seguro a Inseguro.

Un mensaje No seguro después de desbloquear un script de contenido mixto en Google Chrome.

Google simplificará esto en Chrome 79, que se lanzará en diciembre de 2019. Deberá hacer clic en el ícono de candado a la izquierda de la dirección de la página, hacer clic en “Configuración del sitio” y luego desbloquear el contenido mixto para ese sitio.

La opción se oculta más, pero ese es el punto: la mayoría de las personas nunca deberían necesitar habilitar contenido mixto para un sitio. Los desarrolladores de sitios web necesitan reparar sus sitios web para entregar recursos de forma segura. Esta opción garantiza que cualquier persona que utilice un sitio de trabajo antiguo pueda seguir accediendo a él, incluso si el contenido mixto está desactivado para todos.

En relación :  ¿Qué es Markdown y cómo se usa?

Si necesita un sitio que lo requiera, no se preocupe: Google no ha anunciado una fecha para eliminar la opción de carga de contenido mixto en Chrome. El navegador web de Google bloqueará todo el contenido mixto de forma predeterminada, pero seguirá ofreciendo una opción para habilitar el contenido mixto en el futuro previsible.

¿Qué pasa con otros navegadores?

La advertencia de conexión no es segura después de desbloquear contenido mixto en Firefox.

Chrome no está solo. Firefox también bloquea el contenido mixto, como scripts e iframes, y te obliga a hacer clic en “Desactiva la protección por ahora”Para reactivarlo. Esperamos que Mozilla siga los pasos de Google. Safari de Apple es agresivo bloqueo de contenido mixto, demasiado.

Y, por supuesto, el nuevo navegador Edge de Microsoft se basará en el código Chromium que forma la base de Google Chrome y se comportará como Chrome.

Pronto: ¿Por qué Google Chrome dice que los sitios web son “inseguros”?

Moyens Staff
El personal de Moyens I/O lo ha motivado, brindándole consejos sobre tecnología, desarrollo personal, estilo de vida y estrategias que lo ayudarán.