Google va bloquer le contenu non sécurisé des sites HTTPS
Publié le
et mis à jour le
Rubrique Internet
Google a annoncé sur son blog qu'il commencera progressivement à garantir que les pages sécurisées en HTTPS ne peuvent charger que des ressources sécurisées en HTTPS, ce qui n'est pas le cas, semble-t-il, avec certains sites qui proposent encore du contenu mixte, que ce soit des images ou des scripts quand ce n'est pas un iframe, du son ou une vidéo. Les explications...
Google Chrome contenu sécurisé HTTPS
Webmasters, préparez-vous, et surtout faites le tour de votre site Internet pour vérifier que ce dernier soit full HTTPS et qu'il ne charge pas du contenu mixte sur ses pages. En effet, Google va arrêter de charger le contenu mixte à partir de l'année prochaine, pour ainsi dire, demain.
Il y quelques mois, la Firme de Mountain View encourageait, pour ne pas dire forçait, les administrateurs de sites Internet à migrer vers HTTPS pour plus de sécurité. Mais il semble bien que certains n'aient pas fait le travail en entier avec des pages Internet qui s'affichent en chargeant du contenu mixte. On entend par contenu mixte, du contenu qui se charge en étant non sécurisé. Les navigateurs récents bloquent déjà par défaut de nombreux types de contenu mixte, tels que les scripts et les iframes, mais par contre ils n'empêchent pas le chargement des images, du son ou de la vidéo sans être sécurisé ce qui peut menace la confidentialité et la sécurité des utilisateurs.
Pour Google, le fait de ne pas avoir une page full sécurisé pourrait permettre à un attaquant d'altérer une image mixte d'un graphique boursier afin d'induire en erreur les investisseurs, ou d’injecter un cookie de suivi dans une charge de ressources variées. Le chargement de contenu mixte conduit également à une UX source de confusion pour la sécurité du navigateur, dans laquelle la page n'est présentée ni comme sécurisée ni non sécurisée, mais quelque part entre les deux.
Il a donc décidé d'ajouter un cran à la sécurisation des sites que nous visitons avec le navigateur Chrome en bloquant progressivement à partir de la version 79 de Chrome, dont il détaille la feuille de route sur son blog :
Dans Chrome 79, diffusé sur un canal stable en décembre 2019, nous introduirons un nouveau paramètre permettant de débloquer du contenu mixte sur des sites spécifiques.
Dans Chrome 80, les ressources mixtes audio et vidéo seront automatiquement classées en HTTPS, et Chrome les bloquera par défaut si leur chargement sur HTTPS échoue.
Dans Chrome 81, les images mixtes seront automatiquement mises à niveau en HTTPS, et Chrome les bloquera par défaut si leur chargement sur HTTPS échoue.
Il ne vous reste plus qu'à vérifier que votre site est totalement sécurisé !
(Source security.googleblog.com)
Il y quelques mois, la Firme de Mountain View encourageait, pour ne pas dire forçait, les administrateurs de sites Internet à migrer vers HTTPS pour plus de sécurité. Mais il semble bien que certains n'aient pas fait le travail en entier avec des pages Internet qui s'affichent en chargeant du contenu mixte. On entend par contenu mixte, du contenu qui se charge en étant non sécurisé. Les navigateurs récents bloquent déjà par défaut de nombreux types de contenu mixte, tels que les scripts et les iframes, mais par contre ils n'empêchent pas le chargement des images, du son ou de la vidéo sans être sécurisé ce qui peut menace la confidentialité et la sécurité des utilisateurs.
Publicité
Pour Google, le fait de ne pas avoir une page full sécurisé pourrait permettre à un attaquant d'altérer une image mixte d'un graphique boursier afin d'induire en erreur les investisseurs, ou d’injecter un cookie de suivi dans une charge de ressources variées. Le chargement de contenu mixte conduit également à une UX source de confusion pour la sécurité du navigateur, dans laquelle la page n'est présentée ni comme sécurisée ni non sécurisée, mais quelque part entre les deux.
Il a donc décidé d'ajouter un cran à la sécurisation des sites que nous visitons avec le navigateur Chrome en bloquant progressivement à partir de la version 79 de Chrome, dont il détaille la feuille de route sur son blog :
Dans Chrome 79, diffusé sur un canal stable en décembre 2019, nous introduirons un nouveau paramètre permettant de débloquer du contenu mixte sur des sites spécifiques.
Dans Chrome 80, les ressources mixtes audio et vidéo seront automatiquement classées en HTTPS, et Chrome les bloquera par défaut si leur chargement sur HTTPS échoue.
Dans Chrome 81, les images mixtes seront automatiquement mises à niveau en HTTPS, et Chrome les bloquera par défaut si leur chargement sur HTTPS échoue.
Il ne vous reste plus qu'à vérifier que votre site est totalement sécurisé !
(Source security.googleblog.com)