Chrome, più sicurezza online con HTTPS: stop ai contenuti misti dalla v79

04 Ottobre 2019 15

Google intende potenziare gli strumenti a sua disposizione per la sicurezza online e per garantire agli utenti una navigazione lontana da contenuti potenzialmente pericolosi. Da oggi Chrome "verificherà gradualmente che le pagine HTTPS carichino solamente sotto-risorse sicure HTTPS".

Oggetto del contendere sono i cosiddetti contenuti misti (mixed content in inglese) che si verificano

quando l'iniziale HTML viene caricato su una connessione HTTPS protetta, ma altre risorse (come immagini, video, stylesheet, script) vengono caricate su una connessione HTTP non sicura.

In altre parole, i contenuti misti si manifestano quando all'interno di pagine HTTPS vengono caricati altri contenuti (sotto-risorse) con connessione HTTP, dunque potenziale obiettivo da parte di malintenzionati che, ad esempio, potrebbero sfruttare questo tipo di contenuto per iniettare un cookie di tracciamento. Non sempre l'utente se ne rende conto e se ne accorge, e ciò può causare problemi di sicurezza da non sottovalutare.

Google afferma che gli utenti Chrome passano il 90% del loro tempo di navigazione su pagine HTTPS: un ottimo traguardo raggiunto anche con l'ausilio di segnalazioni ad hoc sui siti che utilizzano il protocollo non crittografato HTTP (è da luglio 2018 con Chrome 68 che appare la dicitura "non sicuro").


Le prime modifiche verranno apportate con Chrome 79, ma i cambiamenti e l'adeguamento alla nuova policy saranno graduali. Gli utenti saranno comunque in grado di abilitare un'impostazione per la disattivazione del blocco dei contenuti misti su certi siti web. In sintesi:

  • Chrome 79: a dicembre si introdurrà un'impostazione per sbloccare i contenuti misti su siti specifici. Tale novità sostituirà l'icona dello scudo nell'omnibox.
  • Chrome 80: risorse miste audio e video verranno auto-aggiornate al protocollo HTTPS. Se queste non potranno essere caricate in HTTPS, Chrome le bloccherà automaticamente. Le immagini potranno ancora essere visualizzate con la dicitura "non sicuro" nell'omnibox. Tempi: early release attesa per gennaio 2020.
  • Chrome 81: toccherà anche alle immagini essere bloccate qualora non possano essere visualizzate con protocollo HTTPS. Tempi: early release attesa per febbraio 2020.

Credits immagine d'apertura: Pixabay.

Il miglior display sul mercato e un design fantastico? OnePlus 7 Pro è in offerta oggi su a 532 euro oppure da Amazon a 759 euro.

15

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
csharpino

Azienda del cuore??? Ma per favore... Il problema della sicurezza è sempre lo stesso, usare https e poi lasciare fare qualunque cosa al login (giusto per fare un esempio) o non effettuare controlli sui dati ricevuti (per farne un'altro) è giustamente una fesseria, ma lo è in egual misura avere politiche di login da base missilistica e far poi viaggiare tutto in chiaro senza https... Purtroppo una cosa non esclude l'altra, vanno fatte entrambe se parliamo di sicurezza.
Vanno fatte poi ovviamente delle distinizioni, una cosa è IoT ove ci possono essere delle problematiche tecniche(che cmq con il tempo devono essere superate), un'altra cosa è l'accesso da browser ad un blog su www.. Qui scuse per non usare https non ci possono più essere visto che per farlo basta comprarti un merdosissimo certificato e installarlo (infatti il dominio principale HdBlog lo ha).

sì e no. Ho diversi progetti IoT e l'https é un vero problema per questi dispositivi ad esempio. I moduli GSM come SIM7000 o SIM900 non scaricano in automatico i certificati e se devi inserirli manualmente, dopo 1-2 anni (quando il certificato scade) non funzionano più. Anche un semplice ESP32, processore da 5€ non si connette senza certificati validi.

Il tuo commento sembra da fanatico che vuole proteggere la sua azienda del cuore. Ma l'https serve a poco o niente, se non gestisci login o dati di utenti... Anzi rallenta tutto e basta.

csharpino

Questo è valido se il motivo per cui non apri una pagina web è una mancanza del browser o una sua non compatibilità con uno standard... Se il problema è l'esatto opposto, ovvero è il sito che non è compatibile con uno standard (perchè nel 2020 https è per un sito serio uno standard di fatto) il problema non si pone.. Visto il numero di utenti che perderanno di colpo non disposti a cambiare browser per vedere un singolo sito sarà solo nel loro interesse adeguarsi, anche perchè parliamoci chiaro, un certificato te lo tirano dietro è da barboni non averlo...

Credimi... Le persone cambiano browser molto in fretta, se le pagine web non vengono più visualizzate correttamente.

E' il browser che deve occuparsene, non lo sviluppatore della pagina web. Lo é sempre stato. Anche su Windows, il 99% deriva dai problemi software e drivers. Eppure la colpa ricade sempre su Windows. Stessa cosa per le pagine web. Se un browser é in grado e l'altro, no... Si cambia browser e si prende quello migliore = quello che funziona meglio ;)

csharpino

E allora mi sa che devo confermare... Tempi duri per HDMotori e HDTroll... :-)

Esatto!

csharpino

Cioè io dovrei cambiare browser perchè un sito non si adegua a degli standard di sicurezza esistenti da anni??

Basta cambiare browser

Maxim Castelli

"L''adeguamento alla nuova regolamentazione" mi trova d'accordo.

Jolly Roger

Non so voi ma io dopo che ho provato Opera come browser ho abbandonato sia Chrome che firefox. Mi sto trovando benissimo in tutto e per tutto, fluidità, reattività, grafica meglio fatta e soprattutto funzioni ben concepite e utili! Tanto per dirne qualcuna su Opera che ha di suo il blocco degli annunci pubblicitari senza quindi aggiungere estensioni ( a differenza di Chrome ) è molto meglio fatto rispetto anche a firefox con il quale mi sono trovato malissimo ( le pubblicità soprattutto nei video di youtube comparivano lo stesso e su alcuni siti che ho sempre visitato ho avuto problemi )
C'è anche una modalità di risparmio energetico veramente molto utile che non inficia sulle prestazioni, un peso generale del browser che è 1/3 rispetto a Chrome ecc ecc

AntonioSM77

ormai quasi tutti i siti di condivisione di immagini sono sotto https. E ci sono plugin che trasformano tutti gli http in https.
Comunque a questa eccezione (dei forum) non ci avevo pensato.

csharpino

Tempi duri per HDMotori e HDTroll...

ErCipolla

Eh dipende: un sito può essere anche fatto bene ma se incorpora contenuti da siti non https (magari non per sua "colpa" eh, pensiamo ad esempio a un motore di forum dove gli utenti possono embeddare immagini esterne) avrà problemi quando queste verranno bloccate, perché aggiornare milioni di link e embed user-generated è impensabile.

Comunque in generale Google ha ragione per quanto riguarda contenuti esterni tipo script e iframe, ma trovo la restrzone sulle immagini un filo eccessiva

AntonioSM77

Se i siti sono fatti da gente esperta questa roba non accade.

noncicredo

Chissà che casino verrà fuori all'inizio: già piango per le telefonate di assistenza tecnica....

Amazon

Le migliori offerte Week End: gadget, accessori, smartphone, informatica e altro

Mobile

Recensione Huawei Watch GT 2: super autonomia e bel display

Apple

Recensione iPad 10.2 (2019), iPadOS fa la differenza

Smartphone

Oppo Reno 2 e Reno 2 Z ufficiali: 6,5" full screen Amoled da 349 euro