Google Chrome već neko vreme aktivno blokira određene oblike „mešovitog sadržaja“ na webu. Međutim, Google je najavio da će od početka 2020. godine pristupiti ovom problemu još rigoroznije. Chrome će podrazumevano blokirati sav mešoviti sadržaj, što može uzrokovati probleme sa prikazom nekih postojećih web stranica. U nastavku objašnjavamo šta to tačno znači.
Šta je zapravo mešoviti sadržaj?
Postoje dva osnovna tipa sadržaja: onaj koji se prenosi putem sigurne, šifrovane HTTPS veze i onaj koji se prenosi putem nešifrovane HTTP veze. Kada koristite HTTPS, sadržaj ne može biti prisluškivan niti izmenjen tokom prenosa, što je od suštinske važnosti za web stranice koje obrađuju finansijske informacije ili privatne podatke.
Web se sve više prebacuje na sigurne HTTPS lokacije. Ako se povežete na stariju HTTP lokaciju koja nema enkripciju, Google Chrome vas sada upozorava da te lokacije „nisu sigurne“. Google sada čak i skriva indikator „https://“, jer bi web stranice trebale po defaultu biti sigurne. Novi HTTP/3 standard će imati ugrađenu enkripciju.
Međutim, neke web stranice nisu u potpunosti HTTPS ni u potpunosti HTTP. One se učitavaju putem sigurne HTTPS veze, ali preuzimaju slike, skripte ili druge resurse putem nešifrovane HTTP veze. Takve stranice imaju „mešoviti sadržaj“, jer nisu potpuno bezbedne. Sama web stranica ne može biti izmenjena, ali može uvući skriptu, sliku ili iframe (web stranicu unutar „okvira“ na drugoj web stranici) koji je mogao biti kompromitovan.
Zašto je mešoviti sadržaj problem?
Mešoviti sadržaj može stvoriti zabunu. Gledate web stranicu koja je naizgled i sigurna i nesigurna. Na primer, inače sigurna stranica može da učita JavaScript datoteku preko HTTP-a. Ta skripta se može izmeniti – na primer, ako ste na javnoj, nepouzdanoj Wi-Fi mreži – i izvršiti razne neželjene radnje na web stranici, od praćenja vaših unosa do ubacivanja kolačića za praćenje.
Iako su skripte i iframe-ovi, koji se nazivaju i „aktivni sadržaj“, najopasniji, čak i slike, video zapisi i audio sadržaj mogu biti rizični. Zamislite da gledate sigurnu web lokaciju za trgovinu akcijama koja preuzima grafikon istorije akcija putem HTTP-a. Ta slika nije sigurna – mogla je biti izmenjena tokom prenosa kako bi prikazala netačne podatke. Takođe, pošto se isporučuje preko nešifrovane veze, svako ko analizira podatke u tranzitu verovatno zna koje akcije pratite.
Nije preporučljivo mešati ovakav sadržaj. Ako web stranica koristi HTTPS, svi njeni resursi takođe treba da budu učitani putem HTTPS-a. Ovo je delimično posledica istorijskog razvoja weba – počeo je sa HTTP-om, a web lokacije su postepeno nadograđivane na HTTPS. Tokom te tranzicije, nisu uvek ažurirani svi resursi da koriste HTTPS ili su zavisili od resursa trećih strana koji tada nisu podržavali HTTPS.
Sada, kada Google i drugi provajderi pregledača otežavaju i obeshrabruju mešoviti sadržaj, web lokacije će morati da srede svoje stranice kako bi nastavile da funkcionišu ispravno.
Konkretne promene u Chrome-u
Chrome trenutno blokira mešovite skripte i iframe-ove. U Chrome-u 80, koji je bio objavljen u ranim kanalima u januaru 2020. godine, Chrome je počeo blokirati i mešovite audio i video resurse – tehnički, pokušava da ih učita putem sigurne HTTPS veze i blokira ih ako to nije moguće. Mešovite slike su se učitavale, ali je Chrome prikazivao upozorenje da web stranica „nije sigurna“. U Chrome-u 81, Chrome je takođe počeo blokirati i učitavanje mešovitih slika. Korisnici mogu dozvoliti učitavanje mešovitog sadržaja, ali to nije podrazumevano ponašanje.
Sve ovo je deo napora da se internet učini sigurnijim. Googleov blog naglašava da se nada da će poruka „Nije sigurno“ „motivisati web lokacije da prebace svoje slike na HTTPS“.
Kako Chrome dozvoljava deblokiranje mešovitog sadržaja?
Chrome već blokira određene vrste mešovitog sadržaja koristeći ikonu štita u adresnoj traci i poruke poput „Nesiguran sadržaj je blokiran“. Možete videti kako to funkcioniše na ovom primeru stranice sa mešovitim sadržajem koji je kreirao Google. Da biste deblokirali skriptu sa mešovitim sadržajem, potrebno je kliknuti na opciju „Učitaj nesigurne skripte“.
Ako dozvolite pokretanje mešovitog sadržaja, web stranica se menja iz „Sigurna“ u „Nije sigurna“.
Google je pojednostavio ovaj proces u Chrome-u 79, koji je objavljen u decembru 2019. Sada morate kliknuti na ikonu katanca levo od adrese stranice, zatim na „Podešavanja sajta“ i tamo možete deblokirati mešoviti sadržaj za tu konkretnu lokaciju.
Opcija postaje sve manje dostupna, ali to je i poenta – većina korisnika nikada ne bi trebalo da omogući mešoviti sadržaj za web lokaciju. Programeri web stranica moraju da poprave svoje lokacije kako bi bezbedno isporučivali resurse. Ova opcija omogućava onima koji koriste starije poslovne lokacije da nastave pristupiti istima, čak i kada je mešoviti sadržaj onemogućen za sve ostale.
Ako vam je potreban sajt koji zahteva ovu opciju, ne brinite: Google nije najavio datum kada će ukinuti mogućnost učitavanja mešovitog sadržaja u Chrome-u. Iako će Googleov pregledač podrazumevano blokirati sav mešoviti sadržaj, nastaviće da nudi opciju za njegovo omogućavanje u doglednoj budućnosti.
Šta je sa drugim pregledačima?
Chrome nije jedini. Firefox takođe blokira mešoviti sadržaj, poput skripti i iframe-ova, i zahteva da kliknete na “ Onemogući zaštitu za sada“ da biste ga ponovo omogućili. Očekuje se da će Mozilla slediti Googleov primer. Apple-ov Safari je takođe agresivan u blokiranju mešovitog sadržaja.
Novi Microsoft Edge pregledač, koji se bazira na Chromium kodu (istom kodu koji koristi Google Chrome), ponašaće se slično Chrome-u.