Google Chrome più severo con i contenuti misti (anche per il download file)

Postato in data 14 Ottobre 2019 da Riccardo Esposito - Aggiornato il 10 Febbraio 2020

La notizia è stata pubblicata dal blog di Google dedicato alla sicurezza sul web: il motore di ricerca avrà una politica più severa nei confronti dei contenuti misti HTTP e HTTPS.

contenuti misti
Attenzione ai contenuti misti.

Questa situazione può capitare quando, pur avendo installato un certificato SSL, le pagine web continuano a richiamare contenuti attraverso HTTP. E cosa fa Google? Sottolinea che Chrome inizierà gradualmente a caricare solo pagine in HTTPS completamente sicure.

Cos’è un contenuto misto: definizione

Il contenuto misto si verifica quando la pagina web viene caricata attraverso una connessione HTTPS protetta. Altre risorse, però, vengono richiamate su una connessione HTTP non sicura.

Il problema non riguarda solo la presenza di un certificato SSL sul sito: anche ciò che metti sulla pagina web deve confermare questi standard.

Ma di cosa stiamo parlando esattamente? Cosa potrebbe causare la presenza di contenuti misti? Immagini, video embeddati, lettori di slide, font, fogli di stile, script: contenuti HTTP e HTTPS vengono caricati nella stessa pagina e i browser già mostrano avvisi minacciosi per indicare che la pagina contiene risorse non sicure.

Da leggere: quale certificato SSL scegliere?

Timeline degli aggiornamenti di Chrome

Il processo sarà graduale in modo da dare ai webmaster la possibilità di risolvere questo problema. Il blocco riguarderà – a partire da Chrome 79 fino alla versione 86 e oltre – anche immagini e video e si cercherà sempre di forzare il caricamento in HTTPS.

Su Google Chrome 80 le immagini HTTP saranno sempre caricate ma porteranno il messaggio Non Sicuro vicino all’URL. Come ultima riflessione, con l’aggiornamento finale:

In Chrome 81, mixed images will be autoupgraded to https://, and Chrome will block them by default if they fail to load over https://.

Google

Le immagini che riprendono i parametri dei contenuti misti verranno automaticamente aggiornate in HTTPS e Chrome bloccherà quelle che non possono essere adattate. La versione 81 del browser sarà rilasciata nel febbraio 2020. Il discorso riguarda anche il download file.

Come puoi ben vedere questa scheda riassuntiva (security.googleblog.com), il processo di download file con contenuti misti si sviluppa nel corso del 2020 con diversi aggiornamenti che arriveranno a bloccare definitivamente lo scaricamento dei file con contenuti misti.

Google bloccherà i contenuti non sicuri

Anche se si trovano in HTTPS. Perché i soliti malintenzionati potrebbero inserire un sistema di tracciamento grazie alle falle delle risorse miste. Insomma, i contenuti misti possono essere un punto d’accesso per chi ha intenzione di far breccia nelle stanze segrete di un sito

Utilizzando queste risorse, un utente con cattive intenzioni può anche assumere il controllo della pagina. Per questo oggi Google già blocca script e iFrame caricati su HTTP, con le prossime release del browser la chiusura nei confronti dei contenuti misti si estenderà.

Problemi per il download contenuti misti

Il blocco non riguarda solo la visualizzazione ma anche lo scaricamento dei file. Infatti dalla versione 82 Chrome inizierà a mettere in guardia gli utenti rispetto al download con contenuti misti e che riguardano file eseguibili (vale a dire .exe), immagini, video o script.

Problemi per il download contenuti misti

Senza la conferma dell’HTTPS questi elementi potrebbero essere fonte di malware. E ci sarebbero problemi di sicurezza. Google bloccherà il download mobile e desktop da Windows, Linux e Apple con questa sequenza delle varie versioni di Chrome nel corso del 2020:

  • 82 (aprile): avviso di pericolo per i supporti exe.
  • 83 (giugno): blocco degli esecutivi non sicuri.
  • 84 (agosto): blocco file exe e archivi.
  • 85 (settembre): allerta per audio, video, immagini e testo.
  • 86 (ottobre): Chrome bloccherà tutti i mixed content.

Come scoprire e risolvere i contenuti misti

Per correggere questi nei c’è un’unica strada da seguire: eliminare la fonte dell’errore e sostituire ciò che può portare alla comparsa del contenuto misto. Il problema è scoprire dove si trovano, soprattutto in un sito web di grandi dimensioni. Come fare in questi casi?

Puoi usare Screaming Frog che estrapola una quantità infinita di informazioni. Tra queste ci sono le pagine con contenuti che devi correggere. Anche Semrush offre questo servizio, individuando non solo gli iFrame ma anche i link verso risorse rimaste in HTTP.

contenuti misti
L’analisi di Semrush.

Ci sono delle risorse gratuite e online come whynopadlock.com che consentono di fare un’analisi della singola pagina. In ogni caso Screaming Frog può essere usato gratuitamente per siti fino a 500 URL. Quindi se hai un piccolo progetto puoi lavorarci senza problemi.

Da leggere: come risolvere avviso di sito non sicuro

Contenuti misti: risolverai il problema?

Passare da HTTP a HTTPS non è più sufficiente: oggi devi prenderti cura delle tue pagine web valutando come si comportano le risorse che pubblichi e incorpori per creare qualità. Hai già iniziato il lavoro di pulizia per i contenuti misti? Sei d’accordo con questa soluzione?

Clicca per votare questo articolo!
[Voti totali: 0 Media: 0]

Discussione

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *