Google Chrome blokerer allerede nogle typer “blandet indhold” på nettet. Nå, Google annonceret det bliver endnu mere alvorligt: Fra begyndelsen af 2020 blokerer Chrome som standard alt blandet indhold, hvilket ødelægger nogle eksisterende websider. Her er hvad det betyder.
Indholdsfortegnelse
Hvad er blandet indhold?
Der er to typer indhold her: Indhold leveret over en sikker, krypteret HTTPS-forbindelse og indhold leveret over en ukrypteret HTTP-forbindelse. Når du bruger HTTPS, kan indhold ikke snuses efter eller manipuleres under transit, hvilket er grunden til, at det er kritiske websteder, der tilbyder kryptering, når de håndterer finansielle oplysninger eller private data.
Internettet flytter til sikre HTTPS-websteder. Hvis du opretter forbindelse til et ældre HTTP-websted uden kryptering, advarer Google Chrome dig nu, at disse websteder er “ikke sikre”. Google skjuler nu endda “https://”-indikatoren som standard, da websteder bare skal være sikre som standard. Og den nye HTTP/3-standard vil have indbygget kryptering.
Men nogle websider kan hverken være helt HTTPS eller helt HTTP. Nogle websider leveres over en sikker HTTPS-forbindelse, men de trækker billeder, scripts eller andre ressourcer ind via en ukrypteret HTTP-forbindelse. Sådanne websider har “blandet indhold”, fordi de ikke er helt sikre. Selve websiden kunne ikke manipuleres, men den kan trække i et script, billede eller iframe (en webside inde i en “ramme” på en anden webside), der kunne være blevet manipuleret med.
Hvorfor blandet indhold er dårligt
Blandet indhold er forvirrende. Du ser på en eller anden måde en webside, der både er sikker og ikke sikker. For eksempel kunne en normalt sikker og sikker webside trække en JavaScript-fil ind via HTTP. Det script kunne ændres – for eksempel hvis du er på et offentligt Wi-Fi-netværk, der ikke er troværdigt – til at gøre mange grimme ting på websiden, lige fra at overvåge dine tastetryk til at indsætte en sporingscookie.
Mens scripts og iframes – “aktivt indhold” – er de farligste, kan selv billeder, videoer og lydblandet indhold være risikabelt. Forestil dig for eksempel, at du ser et sikkert aktiehandelswebsted, der henter et billede af en akties historie via HTTP. Billedet er ikke sikkert – det kunne være blevet manipuleret under transporten for at vise forkerte detaljer. Fordi det blev leveret over en ukrypteret forbindelse, ved enhver, der lurer på dataene i transit, sandsynligvis, hvilken aktie du kigger på.
Det er en dårlig idé at blande indhold som dette. Hvis en webside bruger HTTPS, skal alle dens ressourcer også trækkes ind via HTTPS. Det er bare et historisk uheld – nettet startede med HTTP, og websteder blev gradvist opgraderet til HTTPS. Som de gjorde, opdaterede de ikke altid for at bruge HTTPS-ressourcer overalt. Eller de kan have været afhængige af en tredjepartsressource, der ikke understøttede HTTPS på det tidspunkt.
Nu, hvor Google og andre browserleverandører gør blandet indhold mere vanskeligt og nedslående, bliver websteder nødt til at rydde op, så deres websider vil fortsætte med at fungere som standard.
Hvad er det præcist, der ændrer sig i Chrome?
Chrome blokerer i øjeblikket blandede scripts og iframes. I Chrome 80, som vil blive frigivet til tidlige udgivelseskanaler i januar 2020, vil Chrome blokere blandede lyd- og videoressourcer – teknisk set vil den forsøge at indlæse dem via en sikker HTTPS-forbindelse i stedet og blokere dem, hvis de ikke vil. Blandede billeder indlæses, men Chrome vil sige, at websiden er “Ikke sikker”. I Chrome 81 stopper Chrome også med at indlæse blandede billeder. Brugere kan tillade, at det blandede indhold indlæses, men det vil det ikke som standard.
Det er alt sammen en del af at gøre nettet mere sikkert. Googles blogindlæg siger, at det forventer, at “Ikke sikker”-meddelelsen “vil motivere websteder til at migrere deres billeder til HTTPS.”
Hvordan Chrome giver dig mulighed for at fjerne blokeringen af blandet indhold
Chrome blokerer allerede nogle typer blandet indhold med et skjoldikon i adresselinjen og en meddelelse om “Usikkert indhold blokeret”. Du kan se, hvordan det virker på dette eksempelside med blandet indhold skabt af Google. For at fjerne blokeringen af et blandet indholdsscript skal du for eksempel klikke på et link med navnet “Indlæs usikre scripts.”
Hvis du accepterer at køre det blandede indhold, ændres websiden fra Sikker til Ikke Sikker.
Google vil forenkle dette i Chrome 79, som udgives engang i december 2019. Du skal klikke på låseikonet til venstre for sidens adresse, klikke på “Siteindstillinger” og derefter fjerne blokeringen af blandet indhold for det pågældende websted.
Muligheden bliver mere begravet, men det er pointen: De fleste mennesker burde aldrig have brug for at aktivere blandet indhold til et websted. Webstedsudviklere skal rette deres websteder for at levere ressourcer sikkert. Denne mulighed sikrer, at alle, der bruger et ældre virksomhedswebsted, kan fortsætte med at få adgang til det, selv mens blandet indhold er deaktiveret for alle.
Hvis du har brug for et websted, der kræver dette, skal du ikke bekymre dig: Google har ikke annonceret en dato, hvor det fjerner muligheden for at indlæse blandet indhold i Chrome. Googles webbrowser vil blokere alt blandet indhold som standard, men vil fortsætte med at tilbyde en mulighed for at aktivere blandet indhold i en overskuelig fremtid.
Hvad med andre browsere?
Chrome er ikke alene. Firefox blokerer også blandet indhold som scripts og iframes og kræver, at du klikker på en “Deaktiver beskyttelse indtil videre” indstilling for at genaktivere den. Vi forventer, at Mozilla følger i Googles fodspor. Apples Safari er aggressiv omkring blokering af blandet indhold, også.
Og selvfølgelig vil Microsofts nye Edge-browser være baseret på Chromium-koden, der danner grundlaget for Google Chrome og vil opføre sig som Chrome.