Con il rilascio di Chrome 80, Google ha iniziato un percorso che entro ottobre 2020 porterà al blocco automatico di tutti i contenuti erogati attraverso una connessione HTTP seppur inseriti in una pagina web che utilizza il protocollo HTTPS: Chrome 80 modifica la gestione dei cookie e delle pagine HTTPS con contenuti misti.
Con una nota ufficiale pubblicata sul blog dell’azienda di Mountain View, Google ha voluto approfondire la questione chiarendo che l’obiettivo è scongiurare eventuali attacchi man-in-the-middle (MITM).
La decisione impatta sulle installazioni di Chrome destinate a tutte le piattaforme supportate: Windows, macOS, Chrome OS e Linux. Dapprima il browser (Chrome 80) proverà a verificare se eventuali risorse audio e video richiamate via HTTP da una pagina HTTPS fossero disponibili – esse stesse – anche via HTTPS. Qualora tali elementi inseriti in una pagina HTTPS risultassero raggiungibili soltanto via HTTP (quindi senza l’applicazione di alcuna forma di cifratura dei dati), Chrome ne bloccherà automaticamente il caricamento e ne impedirà la visualizzazione.
La tabella seguente mostra come le varie versioni di Chrome si comporteranno nella gestione di altre tipologie di contenuti richiamati via HTTP da una pagina web HTTPS:
Perché questa “stretta” sui mixed content ovvero sulla pagine HTTPS che contengono riferimenti a elementi caricati via HTTP? Il motivo è piuttosto semplice: i “contenuti misti” sono da sempre mal visti perché nel caso in cui il browser avesse a che fare con dei contenuti attivi (si pensi ad elementi JavaScript) capaci di modificare la struttura della pagina web (DOM, Document Object Model), essi potrebbero modificare le informazioni contenute nella pagina HTTPS con la possibilità, ad esempio, di intercettare nomi utente e password.
La decisione di Google andrà ad interessare non soltanto contenuti “attivi” ma anche oggetti che per la loro stessa natura non possono interagire con la pagina web HTTPS. Un po’ di “eccesso di zelo”. Probabilmente sì ma i tecnici di Google hanno scelto di imboccare questa strada con Chrome e difficilmente si tornerà indietro.
Le pagine HTTPS che dovessero contenere riferimenti a contenuti HTTP (pagine con mixed content) mostreranno l’etichetta “Non sicuro” a sinistra della barra degli indirizzi.
Per evitare la comparsa del messaggio, i webmaster e gli sviluppatori di applicazioni web dovrebbero sempre controllare che tutte le risorse che compongono una pagina siano tutte veicolate via HTTPS.
Per verificare in anticipo come Chrome si comporterà in futuro, è possibile scaricare Chrome Canary (versione di anteprima del browser potenzialmente instabile), digitare chrome://flags/#treat-unsafe-downloads-as-active-content
nella barra degli indirizzi, attivare la corrispondente impostazione e riavviare il browser.