Google Chrome bloqueará la carga de contenido inseguro en páginas HTTPS

En un intento por proteger a los usuarios, Google comenzó a etiquetar los sitios web HTTP como "No seguros" con Chrome 68 a principios de este año. Gracias a este cambio, se hizo más fácil para los usuarios detectar cuando navegaban por un sitio web potencialmente inseguro. Además, también incitó a los desarrolladores a actualizar sus sitios web con certificados SSL. Ahora, en un intento por reforzar aún más la seguridad, Google está trabajando para evitar que los subrecursos HTTP inseguros se carguen en las páginas HTTPS.

En una publicación reciente en el blog Chromium, la compañía ha descrito los pasos para bloquear completamente el contenido mixto. Para los que no lo saben, las páginas HTTPS suelen presentar contenido mixto, donde algunos recursos secundarios se cargan de forma insegura a través de HTTP. Pero aunque los navegadores bloquean muchos tipos de contenido mixto de forma predeterminada, las imágenes, el audio y el video aún pueden cargarse. Potencialmente, esto podría permitir a los atacantes alterar contenido mixto y comprometer la seguridad del usuario.

Por lo tanto, a partir de Chrome 79 en adelante, el navegador se moverá gradualmente para bloquear todo el contenido mixto de forma predeterminada. Para evitar que los sitios web se rompan debido al cambio, Google actualizará automáticamente los recursos mixtos a HTTPS. Sin embargo, los usuarios aún tendrán la opción de optar por el bloqueo de contenido mixto en sitios web particulares. La compañía también ha proporcionado recursos para que los desarrolladores los ayuden a encontrar y corregir contenido mixto en sus sitios web.

En Chrome 79, que se lanzará al canal estable en diciembre de este año, Google introducirá una nueva configuración para desbloquear contenido mixto. La nueva configuración se aplicará a secuencias de comandos mixtas, marcos flotantes y otro contenido mixto que Chrome bloquea actualmente de forma predeterminada. Los recursos mixtos de audio y video se actualizarán automáticamente a HTTPS en Chrome 80. En caso de que los recursos no se carguen a través de HTTPS, se bloquearán. Sin embargo, las imágenes mixtas aún podrán cargarse, pero mostrarán la etiqueta "No seguro" en el omnibox.

En la siguiente actualización de Chrome 81, las imágenes mixtas también se actualizarán automáticamente a HTTPS. Y una vez más, las imágenes que no se cargan a través de HTTPS se bloquearán. Los desarrolladores que deseen migrar su contenido mixto a HTTPS pueden consultar los recursos disponibles en la publicación oficial vinculada a continuación.


Fuente: Blog de cromo