Google Chrome bloque déjà certains types de «contenu mixte» sur le Web. Maintenant, Google annoncé cela devient encore plus sérieux: à partir du début de 2020, Chrome bloquera par défaut tout le contenu mixte, cassant certaines pages Web existantes. Voici ce que cela signifie.
Table des matières
Qu’est-ce que le contenu mixte?
Il existe deux types de contenu ici: le contenu livré via une connexion HTTPS sécurisée et cryptée et le contenu livré via une connexion HTTP non cryptée. Lorsque vous utilisez HTTPS, le contenu ne peut pas être espionné ou falsifié en transit, c’est pourquoi ses sites Web critiques offrent un cryptage lorsqu’il traite des informations financières ou des données privées.
Le Web se déplace vers des sites Web HTTPS sécurisés. Si vous vous connectez à un ancien site Web HTTP sans chiffrement, Google Chrome vous avertit désormais que ces sites Web ne sont «pas sécurisés». Google cache même maintenant l’indicateur « https: // » par défaut, car les sites doivent simplement être sécurisés par défaut. Et le nouveau standard HTTP / 3 aura un cryptage intégré.
Mais certaines pages Web ne peuvent être ni entièrement HTTPS ni complètement HTTP. Certaines pages Web sont fournies via une connexion HTTPS sécurisée, mais elles récupèrent des images, des scripts ou d’autres ressources via une connexion HTTP non chiffrée. Ces pages Web ont un «contenu mixte» car elles ne sont pas entièrement sécurisées. La page Web elle-même n’a pas pu être falsifiée, mais elle peut extraire un script, une image ou une iframe (une page Web à l’intérieur d’un «cadre» sur une autre page Web) qui aurait pu être falsifiée.
Pourquoi le contenu mixte est mauvais
Le contenu mixte est déroutant. Vous consultez en quelque sorte une page Web à la fois sécurisée et non sécurisée. Par exemple, une page Web généralement sûre et sécurisée peut extraire un fichier JavaScript via HTTP. Ce script pourrait être modifié – par exemple, si vous êtes sur un réseau Wi-Fi public qui n’est pas digne de confiance – pour faire beaucoup de choses désagréables sur la page Web, de la surveillance de vos frappes à l’insertion d’un cookie de suivi.
Alors que les scripts et les iframes – «contenu actif» – sont les plus dangereux, même les images, les vidéos et le contenu audio-mixé peuvent être risqués. Par exemple, imaginez que vous consultez un site Web de négociation d’actions sécurisé qui extrait une image de l’historique d’une action via HTTP. Cette image n’est pas sécurisée. Elle aurait pu être falsifiée pendant le transport pour afficher des détails incorrects. De plus, comme il a été livré via une connexion non chiffrée, quiconque espionne les données en transit sait probablement quel stock vous regardez.
C’est une mauvaise idée de mélanger du contenu comme celui-ci. Si une page Web utilise HTTPS, toutes ses ressources doivent également être extraites via HTTPS. Ce n’est qu’un accident historique: le Web a commencé avec HTTP, et les sites Web sont progressivement mis à niveau vers HTTPS. Comme ils l’ont fait, ils n’ont pas toujours mis à jour pour utiliser les ressources HTTPS partout. Ou, ils peuvent avoir dépendu d’une ressource tierce qui ne prenait pas en charge HTTPS à l’époque.
Maintenant, avec Google et d’autres fournisseurs de navigateurs rendant le contenu mixte plus difficile et décourageant, les sites Web devront nettoyer les choses afin que leurs pages Web continuent de fonctionner par défaut.
Qu’est-ce qui change exactement dans Chrome?
Chrome bloque actuellement les scripts mixtes et les iframes. Dans Chrome 80, qui sortira sur les canaux de lancement anticipé en janvier 2020, Chrome bloquera les ressources audio et vidéo mixtes – techniquement, il essaiera de les charger via une connexion HTTPS sécurisée et de les bloquer si ce n’est pas le cas. Les images mixtes se chargeront, mais Chrome indiquera que la page Web n’est pas sécurisée. Dans Chrome 81, Chrome arrêtera également de charger les images mixtes. Les utilisateurs peuvent autoriser le chargement du contenu mixte, mais ce n’est pas le cas par défaut.
Tout cela fait partie de la sécurisation du Web. L’article de blog de Google indique qu’il s’attend à ce que le message «Non sécurisé» «incite les sites Web à migrer leurs images vers HTTPS».
Comment Chrome vous permettra de débloquer le contenu mixte
Chrome bloque déjà certains types de contenu mixte avec une icône de bouclier dans la barre d’adresse et un message «Contenu non sécurisé bloqué». Vous pouvez voir comment cela fonctionne page d’exemple de contenu mixte créé par Google. Par exemple, pour débloquer un script de contenu mixte, vous devez cliquer sur un lien nommé « Charger les scripts non sécurisés ».
Si vous acceptez d’exécuter le contenu mixte, la page Web passe de Sécurisé à Non sécurisé.
Google simplifiera cela dans Chrome 79, qui sortira en décembre 2019. Vous devrez cliquer sur l’icône de verrouillage à gauche de l’adresse de la page, cliquer sur « Paramètres du site », puis débloquer le contenu mixte pour ce site.
L’option devient plus enterrée, mais c’est le point: la plupart des gens ne devraient jamais avoir besoin d’activer un contenu mixte pour un site. Les développeurs de sites Web doivent réparer leurs sites Web pour fournir des ressources en toute sécurité. Cette option garantit que toute personne utilisant un ancien site professionnel pourra continuer à y accéder, même si le contenu mixte est désactivé pour tout le monde.
Si vous avez besoin d’un site qui l’exige, ne vous inquiétez pas: Google n’a pas annoncé de date à laquelle il supprimera l’option de chargement de contenu mixte dans Chrome. Le navigateur Web de Google bloquera par défaut tout le contenu mixte, mais continuera à offrir une option permettant d’activer le contenu mixte dans un avenir prévisible.
Qu’en est-il des autres navigateurs?
Chrome n’est pas seul. Firefox bloque également les contenus mixtes tels que les scripts et les iframes, et vous oblige à cliquer sur « Désactiver la protection pour le moment”Pour le réactiver. Nous nous attendons à ce que Mozilla suive les traces de Google. Le Safari d’Apple est agressif blocage du contenu mixte, aussi.
Et, bien sûr, le nouveau navigateur Edge de Microsoft sera basé sur le code Chromium qui forme la base de Google Chrome et se comportera comme Chrome.