Google Chrome har allerede begynt å blokkere visse typer usikkert innhold på nettet. Nå har Google kunngjort at de strammer inn ytterligere: Fra begynnelsen av 2020 vil Chrome som standard blokkere alt blandet innhold, noe som kan føre til problemer for noen eksisterende nettsider. Her forklarer vi hva dette innebærer.
Hva innebærer blandet innhold?
I denne sammenhengen er det snakk om to typer innhold: innhold som leveres via en sikker, kryptert HTTPS-forbindelse, og innhold som leveres via en ukryptert HTTP-forbindelse. Ved bruk av HTTPS er det mye vanskeligere å manipulere eller avlytte innholdet under overføring. Derfor er det avgjørende for nettsider som håndterer finansiell informasjon eller personlige data å bruke kryptering.
Internett beveger seg stadig mot sikrere HTTPS-løsninger. Hvis du kobler deg til en eldre HTTP-side som mangler kryptering, vil Google Chrome nå varsle deg om at siden er usikker. Google har også fjernet «https://» indikatoren som standard, da det forventes at alle nettsider skal være sikre. Og den nye HTTP/3-standarden har innebygd kryptering.
Noen nettsider befinner seg imidlertid i en gråsone, der de verken er fullstendig HTTPS eller fullstendig HTTP. Disse sidene leveres via en sikker HTTPS-forbindelse, men henter samtidig inn bilder, skript eller andre ressurser via en ukryptert HTTP-forbindelse. Slike sider har «blandet innhold» og er dermed ikke fullt ut sikre. Selve nettsiden kan være sikker, men den kan hente inn en ressurs som en skript, bilde eller iframe (en nettside inne i en «ramme» på en annen side) som kan ha blitt manipulert.
Hvorfor er blandet innhold problematisk?
Blandet innhold skaper forvirring, da det gir inntrykk av en nettside som er både sikker og usikker på samme tid. For eksempel kan en side som vanligvis er trygg hente inn en JavaScript-fil via HTTP. Dette skriptet kan endres, særlig hvis du bruker et usikkert offentlig Wi-Fi-nettverk, og brukes til å utføre uønskede handlinger på siden. Dette kan inkludere overvåking av tastetrykk eller installering av sporingsinformasjonskapsler.
Selv om skript og iframes («aktivt innhold») utgjør den største risikoen, kan også bilder, videoer og lyd med blandet innhold være problematiske. Tenk deg for eksempel en sikker aksjehandelside som henter inn et bilde av en aksjes historikk via HTTP. Dette bildet er sårbart og kan ha blitt manipulert underveis for å vise feil informasjon. I tillegg vil alle som overvåker datatrafikken via en ukryptert forbindelse, kunne se hvilken aksje du ser på.
Det er ingen god idé å blande innhold på denne måten. Hvis en nettside bruker HTTPS, bør alle ressurser også hentes via HTTPS. Denne situasjonen skyldes historiske årsaker – internett startet med HTTP, og nettsider har gradvis blitt oppgradert til HTTPS. Under denne overgangen har ikke alle nettsider oppdatert sine ressurser til HTTPS. Noen kan også være avhengige av tredjepartsressurser som ikke støttet HTTPS tidligere.
Med Google og andre nettleserleverandører som gjør blandet innhold mer problematisk, er nettsideeiere nødt til å rydde opp slik at nettsidene deres fungerer som forventet.
Hvilke endringer gjør Chrome?
Chrome blokkerer allerede blandede skript og iframes. I Chrome 80, som ble lansert i januar 2020, begynte Chrome å blokkere blandede lyd- og videoressurser. Teknisk sett forsøker nettleseren først å laste disse ressursene via en sikker HTTPS-forbindelse, og blokkerer dem hvis det ikke lykkes. Blandede bilder ble først lastet, men Chrome markerte siden som «Ikke sikker». I Chrome 81 ble også innlasting av blandede bilder blokkert som standard. Brukere har imidlertid en mulighet til å tillate blandet innhold, men dette er ikke standard.
Dette tiltaket er en del av et større initiativ for å gjøre internett sikrere. Googles blogginnlegg understreker at «Ikke sikker»-meldingen skal «motivere nettsteder til å migrere bildene sine til HTTPS».
Hvordan tillater Chrome blandet innhold?
Chrome har allerede implementert et skjoldikon i adressefeltet som varsler om blokkert usikkert innhold. Dette kan sees i praksis på denne eksempelsiden som Google har opprettet. For å oppheve blokkeringen av et skript med blandet innhold, kan du klikke på en lenke som heter «Last usikre skript».
Dersom du velger å kjøre det blandede innholdet, endres nettsidens status fra sikker til usikker.
Google har gjort denne prosessen enklere i Chrome 79. Her må du klikke på låseikonet til venstre for sidens adresse, deretter velge «Site Settings» og fjerne blokkeringen av blandet innhold for den spesifikke siden.
Alternativet er mer skjult, noe som er hensikten. De fleste brukere skal ikke behøve å aktivere blandet innhold. Utviklere må fikse sidene sine slik at ressurser leveres på en sikker måte. Dette alternativet er tilgjengelig slik at brukere som trenger det, for eksempel eldre bedriftssider, fremdeles kan få tilgang selv om blandet innhold er deaktivert som standard.
Dersom du trenger tilgang til en side som krever blandet innhold, trenger du ikke bekymre deg. Google har ikke satt en endelig dato for når de vil fjerne muligheten for å laste blandet innhold i Chrome. Nettleseren vil som standard blokkere blandet innhold, men muligheten for å aktivere det vil forbli tilgjengelig i overskuelig fremtid.
Hva med andre nettlesere?
Chrome er ikke alene om dette. Firefox blokkerer også blandet innhold som skript og iframes, og krever at brukeren klikker på «Deaktiver beskyttelse for nå» for å gjenaktivere det. Vi forventer at Mozilla vil følge Googles eksempel. Apples Safari er også streng med blokkering av blandet innhold.
Microsofts nye Edge-nettleser er basert på samme Chromium-kode som Google Chrome og vil derfor oppføre seg på samme måte.