Google Chrome comenzará a bloquear todo el contenido mixto de forma predeterminada. La compañía reveló un plan en octubre que detalla cómo el navegador web de la compañía manejará el contenido mixto en las siguientes versiones.
El contenido mixto se refiere a sitios que se cargan por medio de HTTPS pero utilizan recursos HTTP. Un ejemplo sencillo es un sitio web que carga una imagen a través de HTTP mientras se accede a la página por medio de HTTPS.
Chrome bloquea scripts e iframes de forma predeterminada si se cargan a través de HTTP en sitios HTTPS, pero permite que se muestre el contenido estático, como imágenes.
Este comportamiento se considera como una amenaza a la privacidad y seguridad de los usuarios, según Google, ya que «un atacante podría alterar una imagen mixta de un gráfico de acciones para engañar a los inversores o inyectar una cookie de seguimiento en una carga de recursos mixta».
A partir de Chrome 79 Stable, que se lanzará en diciembre de 2019, Chrome actualizará gradualmente o bloqueará el contenido mixto que encuentre.
Google anunció los siguientes cambios:
Chrome 79: Nueva opción en configuración del sitio para desbloquear el contenido mixto en Google Chrome para sitios específicos. Simplemente hacer clic en el icono frente a la dirección y seleccionar Configuración del sitio en la interfaz, Chrome carga la configuración del sitio. Ubicar el contenido inseguro para cambiar la configuración a Preguntar o Permitir para un sitio en particular.
Chrome 80: Los recursos de audio y video se actualizarán a HTTPS automáticamente si es posible. De no ser posible, serán bloqueados.
Chrome 80: Las imágenes mixtas aún se cargarán, pero chrome mostrará una etiqueta «no segura» en la barra de direcciones.
Chrome 81: Las imágenes mixtas se actualizarán a HTTPS si es posible, o se bloquearán si no es posible.
Los usuarios de Chrome pueden utilizar la configuración de sitio de contenido inseguro para permitir los recursos bloqueados en los sitios web.
Mozilla también implementó una nueva preferencia en Firefox 60 para permitir contenido mixto en el navegador, pero viene desactivado de forma predeterminada.
Este cambio en Chrome tendrá un impacto en los recursos de imagen, video y audio que se cargan por medio de HTTP actualmente en los sitios HTTPS. Chrome quiere actualizar estos recursos a HTTPS de forma automática, pero eso solo funcionará si el sitio web lo admite.