Chrome bloccherà i cosiddetti mixed content nelle pagine HTTPS

Le campagne di sensibilizzazione per il passaggio al protocollo HTTPS (vedere l’articolo Passare da HTTP a HTTPS: l’importanza del certificato SSL) rivolte ai webmaster di tutto il mondo hanno avuto successo. Basti pensare che il 90% dei siti web utilizzano il protocollo per la trasmissione sicura delle informazioni sul web.
Tanto che da qualche tempo a questa parte il browser si limita a indicare con l’etichetta “Non sicuro“, mostrata nella barra degli indirizzi, solamente le pagine erogate senza alcuna forma di crittografia via HTTP.

Google ha però comunicato che a partire dal prossimo anno Chrome si asterrà dal caricare le immagini, gli script e i contenuti audio-video caricati via HTTP seppur inseriti in una pagina HTTPS. Si tratta dei cosiddetti mixed content che oggi vengono comunque caricati ma che nel caso delle pagine HTTPS comportano la scomparsa del “lucchetto” in capo alla barra degli indirizzi.

I mixed content sono da sempre mal visti perché nel caso in cui il browser avesse a che fare con dei contenuti attivi (si pensi ad elementi JavaScript) capaci di modificare la struttura della pagina web (DOM, Document Object Model), essi potrebbero modificare le informazioni contenute nella pagina HTTPS con la possibilità, ad esempio, di intercettare nomi utente e password.

A partire da Chrome 79 (il cui rilascio è previsto per dicembre prossimo) il browser inizierà con gradualità a bloccare ogni tipo di contenuto caricato via HTTP all’interno del corpo di una pagina HTTPS. I tecnici di Google tengono però a precisare che il browser proverà ad aggiornare automaticamente tutti i riferimenti a http:// in https://. In questo modo, se le risorse alle quali viene fatto riferimento fossero comunque disponibili anche via HTTPS, l’intera pagina verrà caricata in modo sicuro.

Con il rilascio di Chrome 80, in particolare, il browser proverà a caricare via HTTPS tutte le risorse audio e video chiamate via HTTP mentre per le pagine che fanno riferimento a immagini caricate usando HTTP si userà l’etichetta Non sicuro nella barra degli indirizzi.
Si tratterà però soltanto di una breve parentesi perché a partire da Chrome 81 (febbraio 2020) il browser di Google proverà a caricare tutte le immagini via HTTPS. Quelle che non risulteranno raggiungibili via HTTPS non saranno gestite e non verranno più mostrate in pagina.