Sul Security Blog di Google, il team Chrome security dell’azienda ha preannunciato una politica più rigorosa in Google Chrome per quel che riguarda i contenuti web di tipo HTTP e HTTPS, che non lasci più alcuno spazio alle ambiguità.
Nello specifico, il team ha annunciato che Google Chrome inizierà gradualmente a garantire, per impostazione predefinita, che le pagine https:// possano caricare solo risorse di tipo https:// sicure, e che il browser web di Big G inizierà a bloccare contenuti di tipo misto, vale a dire risorse http:// non sicure su pagine https:// sicure.
Ricordiamo che HTTPS sta per Hypertext Transfer Protocol Secure ed è un’estensione del tradizionale Hypertext Transfer Protocol (HTTP), introdotta per offrire un layer di comunicazione sul web più sicuro. L’HTTPS ha raggiunto ormai una diffusione molto ampia tra i siti web e i browser moderni offrono strumenti di monitoraggio del protocollo utilizzato nonché di verifica dei certificati. Gli utenti di Chrome, ha reso noto il team di sviluppo, trascorrono ora oltre il 90% del tempo di navigazione su HTTPS su tutte le principali piattaforme.
Nelle intenzioni del team di Google Chrome, questa nuova modifica non solo migliorerà la privacy e la sicurezza degli utenti nelle attività di navigazione sul web, ma presenterà anche una user experience relativa alla sicurezza del browser più chiara.
Il problema del mixed content sorge quando le risorse secondarie nella pagina HTTPS vengono caricate in modo non sicuro su HTTP: i browser bloccano molti tipi di contenuti misti di default, come ad esempio script e iframe, ma è ancora possibile caricare immagini, audio e video, il che rappresenta una minaccia per la privacy e la sicurezza. Ad esempio, spiega il team di sviluppo di Google Chrome, un malintenzionato potrebbe iniettare un cookie di tracciamento attraverso il caricamento di risorse miste oppure potrebbe manomettere un contenuto non sicuro che viene caricato in una pagina sicura.
Oltre a questo, il caricamento di mixed content porta anche a un problema di user experience, in quanto lo stato di sicurezza del browser risulta confuso e poco chiaro, nel momento in cui la pagina viene presentata né come sicura né come insicura, ma qualcosa di mezzo.
Il team di sviluppo ha definito una timeline per passare gradualmente al blocco di tutti i contenuti misti per impostazione predefinita: da Chrome 79, che verrà rilasciato a dicembre 2019, a Chrome 81, che completerà la transizione con un rilascio della early release previsto per febbraio 2020.
La timeline completa, con tutti i dettagli, è consultabile sul post del Security blog di Google, che offre anche link e risorse per gli sviluppatori, con indicazioni su come migrare da HTTP a HTTPS.