Google Chrome bloquera le chargement de contenu non sécurisé sur les pages HTTPS.

Dans le but de sécuriser les utilisateurs, Google a commencé à qualifier les sites Web HTTP de «non sécurisés» avec Chrome 68 plus tôt cette année. Grâce à ce changement, il est devenu plus facile pour les utilisateurs de se repérer lorsqu'ils naviguaient sur un site Web potentiellement dangereux. En outre, il a également invité les développeurs à mettre à jour leurs sites Web avec des certificats SSL. Désormais, dans le but de renforcer davantage la sécurité, Google s'emploie à empêcher le chargement de sous-ressources HTTP non sécurisées sur les pages HTTPS.

Dans une publication récente sur le blog Chromium, la société a décrit les étapes à suivre pour bloquer complètement le contenu mixte. Pour ceux qui ne le savent pas, les pages HTTPS présentent généralement un contenu mixte, dans lequel certaines sous-ressources sont chargées de manière non sécurisée via HTTP. Mais si les navigateurs bloquent par défaut de nombreux types de contenu mixte, les images, l’audio et les vidéos sont toujours autorisés à être chargés. Cela pourrait potentiellement permettre à des attaquants d'altérer un contenu varié et de compromettre la sécurité des utilisateurs.

Par conséquent, à partir de Chrome 79, le navigateur va progressivement bloquer tous les contenus mélangés par défaut. Afin d'empêcher les sites Web de se rompre en raison de la modification, Google mettra à niveau automatiquement les ressources mixtes vers HTTPS. Toutefois, les utilisateurs auront toujours la possibilité de désactiver le blocage de contenu mixte sur des sites Web particuliers. La société a également fourni des ressources aux développeurs pour les aider à trouver et à corriger du contenu mixte sur leurs sites Web.

Dans Chrome 79, qui sera diffusé sur la chaîne stable en décembre de cette année, Google introduira un nouveau paramètre permettant de débloquer du contenu mixte. Le nouveau paramètre s'appliquera aux scripts, iframes et autres contenus mélangés que Chrome bloque actuellement par défaut. Les ressources audio et vidéo mixtes seront ensuite automatiquement mises à niveau vers HTTPS dans Chrome 80. Si les ressources ne parviennent pas à se charger via HTTPS, elles seront bloquées. Cependant, les images mixtes pourront toujours être chargées, mais elles porteront l’étiquette «Non sécurisé» dans la boîte polyvalente.

Dans la mise à jour suivante de Chrome 81, les images mixtes seront également mises à niveau automatiquement vers HTTPS. Et encore une fois, les images dont le chargement sur HTTPS échoue sont bloquées. Les développeurs qui souhaitent migrer leur contenu mixte vers HTTPS peuvent consulter les ressources disponibles dans le message officiel indiqué ci-dessous.


Source: Blog Chrome