Hoy anunciamos que Chrome comenzará gradualmente a garantizar que las páginas https: // solo puedan cargar recursos https: // seguros. En una serie de pasos descritos a continuación, comenzaremos a bloquear contenido mixto (http: // subrecursos inseguros en https: // páginas) de forma predeterminada. Este cambio mejorará la privacidad y la seguridad del usuario en la internet y presentará una experiencia de usuario de seguridad del navegador más clara para los usuarios.
En los últimos años, la world-wide-web ha sido excelente Progreso en la transición a HTTPS: los usuarios de Chrome ahora pasan más del 90% de su tiempo de navegación en HTTPS en todas las plataformas principales. Ahora estamos dirigiendo nuestra atención a asegurarnos de que las configuraciones HTTPS en la world wide web sean seguras y actualizadas.
Las páginas HTTPS comúnmente sufren un problema llamado contenido mixto, donde los recursos secundarios en la página se cargan de forma insegura sobre http: //. Los navegadores bloquean muchos tipos de contenido mixto de forma predeterminada, como scripts e iframes, pero las imágenes, el audio y el online video aún pueden cargarse, lo que amenaza la privacidad y seguridad de los usuarios. Por ejemplo, un atacante podría alterar una imagen mixta de un gráfico de acciones para engañar a los inversores o inyectar una cookie de seguimiento en una carga de recursos mixtos. La carga de contenido mixto también conduce a una confusa UX de seguridad del navegador, donde la página se presenta como no segura ni insegura, sino en algún punto intermedio.
En una serie de pasos que comienzan en Chrome 79, Chrome pasará gradualmente a bloquear todo el contenido mixto de forma predeterminada. Para minimizar la rotura, actualizaremos automáticamente los recursos mixtos a https: //, para que los sitios continúen funcionando si sus recursos secundarios ya están disponibles en https: //. Los usuarios podrán habilitar una configuración para inhabilitar el bloqueo de contenido mixto en sitios net particulares, y a continuación describiremos los recursos disponibles para que los desarrolladores los ayuden a encontrar y corregir contenido mixto.
Cronograma
En lugar de bloquear todo el contenido mixto de una vez, implementaremos este cambio en una serie de pasos.
- En Chrome 79, lanzando al canal estable en diciembre de 2019, presentaremos una nueva configuración para desbloquear contenido mixto en sitios específicos. Esta configuración se aplicará a secuencias de comandos mixtas, marcos flotantes y otros tipos de contenido que Chrome bloquea actualmente de forma predeterminada. Los usuarios pueden alternar esta configuración haciendo clic en el icono de candado en cualquier página https: // y haciendo clic en Configuración del sitio. Esto reemplazará el ícono de escudo que aparece en el lado derecho del omnibox para desbloquear contenido mixto en versiones anteriores de Chrome de escritorio.
Accediendo a la configuración del sitio, desde la cual los usuarios podrán desbloquear cargas de contenido mixto en Chrome 79.
- En Cromo 80, los recursos mixtos de audio y movie se actualizarán automáticamente a https: //, y Chrome los bloqueará de manera predeterminada si no se cargan a través de https: //. Chrome 80 se lanzará a los canales de lanzamiento anticipado en enero de 2020. Los usuarios pueden desbloquear los recursos de audio y video clip afectados con la configuración descrita anteriormente.
- También en Cromo 80, las imágenes mixtas aún podrán cargarse, pero harán que Chrome muestre un chip «No seguro» en el omnibox. Anticipamos que esta es una interfaz de usuario de seguridad más clara para los usuarios y que motivará a los sitios net a migrar sus imágenes a HTTPS. Los desarrolladores pueden usar el actualizaciones-inseguras-solicitudes o bloquear todo el contenido mixto Directivas de la Política de seguridad de contenido para evitar esta advertencia.
Tratamiento omnibox para sitios world wide web que cargan imágenes mixtas en Chrome 80.
- En Cromo 81, las imágenes mixtas se actualizarán automáticamente a https: //, y Chrome las bloqueará de forma predeterminada si no se cargan a través de https: //. Chrome 81 se lanzará a los canales de lanzamiento temprano en febrero de 2020.
Recursos para desarrolladores
Los desarrolladores deben migrar su contenido mixto a https: // inmediatamente para evitar advertencias y roturas. Aquí hay algunos recursos:
- Utilizar Política de seguridad de contenido y FaroLa auditoría de contenido mixto para descubrir y corregir contenido mixto en su sitio.
- Ver esta guia para obtener consejos generales sobre la migración de servidores a HTTPS.
- Verifique con su CDN, servidor internet o sistema de administración de contenido para ver si tienen herramientas especiales para depurar contenido mixto. Por ejemplo, Cloudflare ofrece un herramienta reescribir contenido mixto a https: // y WordPress complementos están disponibles también.
