منتشرشده در فیلتر شکن

یک آرم Google Chrome با یک نماد قفل در داخل آن.

Google Chrome از قبل برخی از انواع "محتوای مختلط" را در وب مسدود می کند. اکنون ، Google اعلام کرد که این مسئله جدی تر می شود: با شروع اوایل سال 2020 ، Chrome همه محتوای مختلط را به طور پیش فرض مسدود می کند و برخی از صفحات وب موجود را می شکند. آنچه در این معنی است وجود دارد.

محتوای ترکیبی چیست؟

در اینجا دو نوع محتوا وجود دارد: محتوا از طریق یک اتصال HTTPS امن ، رمزگذاری شده و محتوای ارسال شده از طریق HTTP بدون رمزگذاری ارسال شده است. هنگامی که از HTTPS استفاده می کنید ، نمی توان محتوا را در حمل و نقل متوقف کرد یا از آن دستکاری کرد ، به همین دلیل وب سایتهای حساس رمزگذاری را هنگام معامله با اطلاعات مالی یا داده های خصوصی ارائه می دهند.

وب در حال ایجاد امنیت وب سایت های HTTPS است. اگر بدون رمزگذاری به یک وب سایت قدیمی HTTP وصل شوید ، Google Chrome اکنون به شما هشدار می دهد که این وب سایت ها "امن نیستند". Google اکنون حتی به طور پیش فرض نشانگر "https: //" را پنهان می کند ، زیرا سایت ها فقط باید به طور پیش فرض امن باشند. و استاندارد جدید HTTP / 3 دارای رمزگذاری داخلی خواهد بود.

اما برخی از صفحات وب نه به صورت HTTPS و نه به طور کامل HTTP می توانند باشند. برخی از صفحات وب از طریق اتصال HTTPS امن تحویل داده می شوند ، اما تصاویر و اسکریپت ها یا منابع دیگر را از طریق اتصال HTTP بدون رمزگذاری می گیرند. چنین صفحات وب "محتوای مختلط" دارند زیرا کاملاً ایمن نیستند. صفحه وب نمی تواند با آن دستکاری شود ، اما ممکن است یک اسکریپت ، تصویر یا iframe (یک صفحه وب در داخل یک "قاب" در یک صفحه وب دیگر) که می توانست با آن دستکاری شود را بکشید.

چرا محتوای مختلط بد است

هشدار Chrome درباره تصاویر با محتوای مختصر.

محتوای مختصر گیج کننده است. شما به نوعی یک صفحه وب را مشاهده می کنید که هم امن و هم ایمن نیست. به عنوان مثال ، یک صفحه وب معمولاً ایمن و امن می تواند یک فایل JavaScript را از طریق HTTP بکشد. این اسکریپت ممکن است تغییر یابد – به عنوان مثال ، اگر در یک شبکه عمومی Wi-Fi هستید که قابل اعتماد نیست – برای انجام بسیاری از کارهای ناگوار در صفحه وب ، از نظارت بر کلیدهای خود تا قرار دادن یک کوکی ردیابی.

اسکریپت ها و iframes— "محتوای فعال" – خطرناک ترین هستند ، حتی تصاویر ، فیلم ها و محتوای صوتی مخلوط می توانند خطرناک باشند. به عنوان مثال ، تصور کنید که در حال مشاهده یک وب سایت امن تجارت سهام هستید که تصویری از تاریخ سهام را از طریق HTTP می کشد. این تصویر ایمن نیست – می توان در حمل و نقل دستکاری کرد تا جزئیات نادرست را نشان دهد. همچنین ، به دلیل اتصال بدون رمزگذاری شده ، هر کسی که از داده های در حال گذر استفاده می کند ، احتمالاً می داند شما چه سهامی را جستجو می کنید.

مخلوط کردن محتوای مانند این ایده بد است. اگر یک صفحه وب از HTTPS استفاده می کند ، باید تمام منابع آن نیز از طریق HTTPS انجام شود. این فقط یک تصادف تاریخی است – وب با HTTP شروع شد ، و وب سایت ها به تدریج به HTTPS ارتقا پیدا کردند. همانطور که اتفاق افتاد ، آنها همیشه استفاده از منابع HTTPS را در همه جا به روز نکردند. یا ممکن است آنها به یک منبع شخص ثالث وابسته باشند که از HTTPS پشتیبانی نمی کند.

اکنون ، با Google و سایر فروشندگان مرورگر ، محتوای ترکیبی را دشوارتر و دلسرد کننده می کنند ، وب سایت ها مجبورند چیزهایی را پاک کنند تا صفحات وب به طور پیش فرض کار خود را ادامه خواهند داد.

دقیقاً چه چیزی در حال تغییر است؟

Chrome در حال حاضر اسکریپت ها و برنامه های مختصر را مسدود می کند. در Chrome 80 ، که در ژانویه 2020 به کانالهای انتشار سریع منتشر می شود ، Chrome منابع صوتی و تصویری مختلط را مسدود می کند – از نظر فنی ، سعی می شود به جای آنها ، آنها را از طریق اتصال امن HTTPS بارگیری کنید و در صورت عدم دسترسی آنها را مسدود کنید. تصاویر مختلط بارگیری می شوند ، اما Chrome می گوید صفحه وب "امن نیست" است. در Chrome 81 ، Chrome نیز بارگیری تصاویر مختلط را متوقف می کند. کاربران می توانند اجازه دهند محتوای مخلوط بارگذاری شود ، اما به طور پیش فرض این کار را نمی کند.

همه بخشی از ایجاد امنیت وب است. پست وبلاگ گوگل می گوید که انتظار می رود پیام "امن نیست" "وب سایت ها را ترغیب کند تا تصاویر خود را به HTTPS منتقل کنند."

چگونه Chrome به شما اجازه می دهد محتوای مختصر را حذف کنید

محتوای نا امن پیام مسدود شده در Google Chrome

Chrome در حال حاضر برخی از انواع محتوای مختلط را با یک نماد سپر در نوار آدرس و پیام "محتوای ناامن مسدود شده" مسدود می کند. می توانید ببینید که چگونه در این صفحه مثال محتوای ترکیبی ایجاد شده توسط Google کار می کند. به عنوان مثال ، برای رفع انسداد یک اسکریپت با محتوای مختصر ، باید روی پیوندی تحت عنوان "بارگذاری اسکریپت های ناامن" کلیک کنید.

اگر شما با اجرای محتوای مختلط موافقت می کنید ، صفحه وب از Secure to Not Secure تغییر می کند.

پیام غیر ایمنی پس از انسداد اسکریپت محتوای مختصر در Google Chrome.

Google این مورد را در Chrome 79 ساده می کند ، که در دسامبر 2019 منتشر می شود. باید روی نماد قفل کلیک کنید در سمت چپ آدرس صفحه ، روی "تنظیمات سایت" کلیک کنید و سپس محتوای مختلط را برای آن سایت مسدود کنید.

این گزینه به خاک سپرده می شود ، اما این نکته است: اکثر مردم هرگز نیازی به فعال کردن محتوای مختصر برای یک سایت ندارند. توسعه دهندگان وب سایت برای تأمین امنیت منابع باید وب سایتهای خود را تعمیر کنند. این گزینه اطمینان حاصل خواهد کرد که هر کسی که از یک سایت تجاری قدیمی استفاده می کند امکان دسترسی به آن را دارد ، حتی اگر محتوای مختلط برای همه غیرفعال باشد.

اگر به سایتی نیاز دارید که این کار را انجام دهد ، نگران نباشید: Google تاریخ زمانی را اعلام نکرده است. گزینه بارگیری محتوای مختصر در Chrome را حذف کنید. مرورگر وب گوگل به طور پیش فرض مسدود شده تمام محتوای مختلط را ادامه می دهد ، اما گزینه ای را برای فعال کردن محتوای مختلط برای آینده قابل پیش بینی ادامه خواهد داد.

در مورد مرورگرهای دیگر چیست؟

اتصال پس از انسداد محتوا مخلوط ، هشدار ایمن نیست. در Firefox.

Chrome تنها نیست. Firefox ، محتوای ترکیبی مانند اسکریپت ها و iframes ها را نیز مسدود می کند ، و برای بازیابی مجدد آن ، باید روی گزینه "غیرفعال کردن محافظت در حال حاضر" کلیک کنید. ما انتظار داریم که موزیلا قدم های Google را دنبال کند. Safari اپل نسبت به مسدود کردن محتوای مختلط نیز بسیار تهاجمی است.

و ، البته ، مرورگر جدید Edge مایکروسافت بر اساس کد Chromium خواهد بود که پایه و اساس گوگل کروم را تشکیل می دهد و مانند کروم رفتار می کند.

: چرا Google Chrome می گوید وب سایت ها "ایمن نیستند؟"

تگ ها: