Google Chrome blokkerer allerede noen typer «blandet innhold» på nettet. Nå, Google annonsert det blir enda mer alvorlig: Fra begynnelsen av 2020 vil Chrome blokkere alt blandet innhold som standard, og bryte noen eksisterende nettsider. Her er hva det betyr.
Innholdsfortegnelse
Hva er blandet innhold?
Det er to typer innhold her: Innhold levert over en sikker, kryptert HTTPS-tilkobling, og innhold levert over en ukryptert HTTP-forbindelse. Når du bruker HTTPS, kan ikke innhold snokes på eller tukles med under overføring, og derfor er det kritiske nettsteder som tilbyr kryptering når de håndterer finansiell informasjon eller private data.
Internett flytter til sikre HTTPS-nettsteder. Hvis du kobler til et eldre HTTP-nettsted uten kryptering, advarer Google Chrome deg nå om at disse nettstedene ikke er sikre. Google skjuler nå til og med «https://»-indikatoren som standard, siden nettsteder bare skal være sikre som standard. Og den nye HTTP/3-standarden vil ha innebygd kryptering.
Men noen nettsider kan verken være helt HTTPS eller fullstendig HTTP. Noen nettsider leveres over en sikker HTTPS-tilkobling, men de henter inn bilder, skript eller andre ressurser via en ukryptert HTTP-tilkobling. Slike nettsider har «blandet innhold» fordi de ikke er helt sikre. Selve nettsiden kunne ikke tukles med, men den kan trekke inn et skript, bilde eller iframe (en nettside inne i en «ramme» på en annen nettside) som kan ha blitt tuklet med.
Hvorfor blandet innhold er dårlig
Blandet innhold er forvirrende. Du ser på en eller annen måte en nettside som er både sikker og ikke sikker. For eksempel kan en vanligvis trygg og sikker nettside trekke inn en JavaScript-fil via HTTP. Det skriptet kan endres – for eksempel hvis du er på et offentlig Wi-Fi-nettverk som ikke er pålitelig – for å gjøre mange ekle ting på nettsiden, fra å overvåke tastetrykkene dine til å sette inn en sporingsinformasjonskapsel.
Mens skript og iframes – «aktivt innhold» – er de farligste, kan til og med bilder, videoer og lydblandet innhold være risikabelt. Tenk deg for eksempel at du ser på et sikkert aksjehandelsnettsted som henter inn et bilde av en aksjes historie via HTTP. Det bildet er ikke sikkert – det kan ha blitt tuklet med under transport for å vise feil detaljer. Dessuten, fordi den ble levert over en ukryptert tilkobling, vet alle som snoker på dataene under transport sannsynligvis hvilken aksje du ser på.
Det er en dårlig idé å blande innhold som dette. Hvis en nettside bruker HTTPS, bør alle ressursene også trekkes inn via HTTPS. Det er bare en historisk ulykke – nettet startet med HTTP, og nettsteder ble gradvis oppgradert til HTTPS. Som de gjorde, oppdaterte de ikke alltid for å bruke HTTPS-ressurser overalt. Eller de kan ha vært avhengige av en tredjepartsressurs som ikke støttet HTTPS på det tidspunktet.
Nå, med Google og andre nettleserleverandører som gjør blandet innhold vanskeligere og nedslående, må nettsteder rydde opp slik at nettsidene deres vil fortsette å fungere som standard.
Hva er det som endres i Chrome?
Chrome blokkerer for øyeblikket blandede skript og iframes. I Chrome 80, som vil bli utgitt til tidlige utgivelseskanaler i januar 2020, vil Chrome blokkere blandede lyd- og videoressurser – teknisk sett vil den prøve å laste dem over en sikker HTTPS-tilkobling i stedet og blokkere dem hvis de ikke gjør det. Blandede bilder lastes inn, men Chrome vil si at nettsiden er «Ikke sikker». I Chrome 81 slutter Chrome å laste inn blandede bilder også. Brukere kan la det blandede innholdet lastes inn, men det vil ikke som standard.
Alt er en del av å gjøre nettet sikrere. Googles blogginnlegg sier at den forventer at «Ikke sikker»-meldingen «vil motivere nettsteder til å migrere bildene sine til HTTPS.»
Hvordan Chrome lar deg fjerne blokkeringen av blandet innhold
Chrome blokkerer allerede enkelte typer blandet innhold med et skjoldikon i adressefeltet og en melding om «Usikkert innhold blokkert». Du kan se hvordan det fungerer på denne eksempelside med blandet innhold opprettet av Google. For å oppheve blokkeringen av et skript med blandet innhold, må du for eksempel klikke på en lenke som heter «Last usikre skript».
Hvis du godtar å kjøre det blandede innholdet, endres nettsiden fra sikker til ikke sikker.
Google vil forenkle dette i Chrome 79, som vil bli utgitt en gang i desember 2019. Du må klikke på låseikonet til venstre for sidens adresse, klikke på «Site Settings» og deretter fjerne blokkeringen av blandet innhold for det nettstedet.
Alternativet blir mer begravet, men det er poenget: De fleste skal aldri trenge å aktivere blandet innhold for et nettsted. Nettstedutviklere må fikse nettsidene sine for å levere ressurser på en sikker måte. Dette alternativet vil sikre at alle som bruker en eldre bedriftsside kan fortsette å få tilgang til den, selv mens blandet innhold er deaktivert for alle.
Hvis du trenger et nettsted som krever dette, ikke bekymre deg: Google har ikke annonsert en dato når den fjerner muligheten for å laste inn blandet innhold i Chrome. Googles nettleser vil blokkere alt blandet innhold som standard, men vil fortsette å tilby et alternativ for å aktivere blandet innhold i overskuelig fremtid.
Hva med andre nettlesere?
Chrome er ikke alene. Firefox blokkerer også blandet innhold som skript og iframes, og krever at du klikker en «Deaktiver beskyttelse for nå«-innstilling for å aktivere den på nytt. Vi forventer at Mozilla følger i Googles fotspor. Apples Safari er aggressiv om blokkerer blandet innholdogså.
Og selvfølgelig vil Microsofts nye Edge-nettleser være basert på Chromium-koden som danner grunnlaget for Google Chrome og vil oppføre seg som Chrome.