Google Chrome vai bloquear conteúdo inseguro em sites HTTPS
Nenhum conteúdo misto poderá ser exibido em sites com criptografia no Chrome 81
Nenhum conteúdo misto poderá ser exibido em sites com criptografia no Chrome 81
O HTTPS não quer dizer que o site é seguro, mas garante que a conexão entre você e o servidor de destino será criptografada, evitando a interceptação dos dados. Mas há um problema: essas páginas ainda podem carregar alguns tipos de conteúdo por meio de uma conexão sem proteção. Isso muda a partir do Chrome 79, que será lançado em dezembro.
Atualmente, os navegadores já bloqueiam parte do chamado “conteúdo misto”, ou seja, os arquivos servidos por HTTP dentro de sites HTTPS. A restrição vale, por exemplo, para códigos em JavaScript ou quadros externos (iframes). Se eles não puderem ser servidos por meio de uma conexão criptografada, nem chegam a ser requisitados pelo Chrome.
No entanto, ainda é possível carregar imagens, vídeos e áudio por meio de HTTP. Isso evita quebras na exibição de páginas, mas pode causar problemas de segurança. “Por exemplo, um invasor pode adulterar uma imagem mista de um gráfico de ações para enganar investidores, ou injetar um cookie de rastreamento em um recurso misto”, diz o Google.
Além disso, a experiência de usuário com conteúdo misto é “confusa”, de acordo com o Google, porque “a página não é apresentada nem como segura, nem como insegura, mas como algo no meio disso”. No caso do Chrome, você já deve ter visto (e talvez esteja vendo isto agora mesmo) quando a barra de endereços mostra a mensagem “Sua conexão com este site não é completamente segura”.
Para evitar problemas, o Chrome passará a bloquear os conteúdos inseguros dentro de sites HTTPS de forma gradual. A preparação se inicia no Chrome 79, que chega em dezembro: ele terá uma nova opção para desbloquear conteúdo misto, bastando clicar no ícone de cadeado e depois em “Configurações do site”.
No Chrome 80, previsto para ser lançado em janeiro de 2020, o bloqueio começa efetivamente: todos os conteúdos mistos de áudio e vídeo passarão a ser requisitados por meio de HTTPS; se eles não carregarem, não serão exibidos. Já as imagens ainda serão baixadas, mas o navegador será claro em mostrar a mensagem “Não seguro” na barra de endereços.
Por fim, em fevereiro de 2020, no Chrome 81, todos os conteúdos em sites HTTPS serão requisitados apenas por HTTPS. Qualquer imagem, áudio ou vídeo servido por meio de uma conexão insegura será bloqueado por padrão. O Google recomenda que os sites migrem todo o conteúdo para HTTPS e usem ferramentas como o Cloudflare para auxiliar no processo.
Vale lembrar que o HTTP deverá sumir de vez com o tempo: o novo protocolo HTTP/3 não possui mais suporte à conexão sem criptografia.