HTTPS : Google Chrome va bloquer tout le contenu mixte par défaut

Le par Jérôme G.  |  10 commentaire(s)
Chrome-logo

Google Chrome va s'attaquer plus sérieusement au contenu mixte dans son ensemble en bloquant prochainement tout le contenu non sécurisé dans des pages HTTPS.

Selon les chiffres de Google, les utilisateurs de Chrome passent " plus de 90 % de leur temps à naviguer via HTTPS sur toutes les plateformes majeures. " À partir de l'année prochaine, la chasse au contenu mixte va s'intensifier.

Un contenu mixte fait référence à des ressources comme des images, vidéos, feuilles de style ou encore scripts qui sont chargées par le biais d'une connexion non sécurisée HTTP alors que c'est une connexion avec le protocole HTTPS qui a été initiée.

Des contenus HTTP et HTTPS sont ainsi chargés afin d'afficher la même page, d'où la notion de contenu mixte. Le cas échéant, les navigateurs alertent l'utilisateur pour ce qui représente un risque avec des attaques de type man-in-the-middle.

HTTPS_logo

Google Chrome va bloquer tout le contenu mixte par défaut. Comme souvent, cela se fera de manière progressive, notamment le temps que les développeurs s'adaptent, sachant que des scripts ou iframes sont en réalité déjà bloqués par défaut.

Dans la mesure du possible, du contenu HTTP sera automatiquement mis à niveau vers HTTPS si des ressources sont disponibles comme pour l'audio et la vidéo. Un même traitement sera ultérieurement appliqué pour les images.

Sans possibilité de mise à niveau pour un chargement via HTTPS, ce sera donc le blocage par défaut. Tout devrait être en place avec la version 81 de Google Chrome. Le calendrier avec les différentes étapes est détaillé dans ce billet de blog.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
FRANCKYIV offline Hors ligne VIP icone 58219 points
Premium
Le #2079893
Et un contenu "mixte" cross plateforme ?

Genre un forum qui est en https, et dont les utilisateurs mettent des images https d'un autre site.

Affichage ou pas ?
BenflasherBZH offline Hors ligne Vétéran icone 2211 points
Le #2079895
Firefox le fait déjà depuis longtemps
Crevax offline Hors ligne VIP icone 5858 points
Le #2079896
FRANCKYIV a écrit :

Et un contenu "mixte" cross plateforme ?

Genre un forum qui est en https, et dont les utilisateurs mettent des images https d'un autre site.

Affichage ou pas ?


Bah c'est pas mixte, si c'est des images https sur un forum https...
FRANCKYIV offline Hors ligne VIP icone 58219 points
Premium
Le #2079897
Crevax a écrit :

FRANCKYIV a écrit :

Et un contenu "mixte" cross plateforme ?

Genre un forum qui est en https, et dont les utilisateurs mettent des images https d'un autre site.

Affichage ou pas ?


Bah c'est pas mixte, si c'est des images https sur un forum https...


Oui mais affichage ou pas ? Sachant que ce n'est pas la même source (même si https).
Anonyme
Le #2079901
FRANCKYIV a écrit :

Crevax a écrit :

FRANCKYIV a écrit :

Et un contenu "mixte" cross plateforme ?

Genre un forum qui est en https, et dont les utilisateurs mettent des images https d'un autre site.

Affichage ou pas ?


Bah c'est pas mixte, si c'est des images https sur un forum https...


Oui mais affichage ou pas ? Sachant que ce n'est pas la même source (même si https).


Moi je comprends qu'elle sera affichée. Le fonctionnement est un scan de la page qui bloquera les éléments dont l'URL commencera par "http". C'est assez basique en fait.

Source : https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content

Edit : et surtout Chrome tentera de forcer le passage en https pour tout même essayer de faire le boulot du dev et de charger la source. Ça m'a l'air bien pensé.
FRANCKYIV offline Hors ligne VIP icone 58219 points
Premium
Le #2079902
Kiriito a écrit :

FRANCKYIV a écrit :

Crevax a écrit :

FRANCKYIV a écrit :

Et un contenu "mixte" cross plateforme ?

Genre un forum qui est en https, et dont les utilisateurs mettent des images https d'un autre site.

Affichage ou pas ?


Bah c'est pas mixte, si c'est des images https sur un forum https...


Oui mais affichage ou pas ? Sachant que ce n'est pas la même source (même si https).


Moi je comprends qu'elle sera affichée. Le fonctionnement est un scan de la page qui bloquera les éléments dont l'URL commencera par "http". C'est assez basique en fait.

Source : https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content


Ok, cool dans ce cas
Dublab offline Hors ligne VIP icone 6409 points
Le #2079908
Déja ok pour ces merdes avec 2/3 extentions sur opera.
Crevax offline Hors ligne VIP icone 5858 points
Le #2079951
Kiriito a écrit :

FRANCKYIV a écrit :

Crevax a écrit :

FRANCKYIV a écrit :

Et un contenu "mixte" cross plateforme ?

Genre un forum qui est en https, et dont les utilisateurs mettent des images https d'un autre site.

Affichage ou pas ?


Bah c'est pas mixte, si c'est des images https sur un forum https...


Oui mais affichage ou pas ? Sachant que ce n'est pas la même source (même si https).


Moi je comprends qu'elle sera affichée. Le fonctionnement est un scan de la page qui bloquera les éléments dont l'URL commencera par "http". C'est assez basique en fait.

Source : https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content

Edit : et surtout Chrome tentera de forcer le passage en https pour tout même essayer de faire le boulot du dev et de charger la source. Ça m'a l'air bien pensé.


Oui pour moi c'est ça: S'il y a ne serait-ce qu'un demi octet en http, c'est bloqué sinon, tout https, même de sources différentes, c'est bon.
billgatesanonym offline Hors ligne VIP icone 5317 points
Le #2079976
C'est aussi crétin que de bloquer les voitures en fonction de leur ancienneté. De même que certaines vieilles voitures sont légères et polluent moins que d'autres plus récentes mais plus lourdes, certains sites en http sont inoffensifs alors que certains sites en https sont dangereux.
Crevax offline Hors ligne VIP icone 5858 points
Le #2079978
billgatesanonym a écrit :

C'est aussi crétin que de bloquer les voitures en fonction de leur ancienneté. De même que certaines vieilles voitures sont légères et polluent moins que d'autres plus récentes mais plus lourdes, certains sites en http sont inoffensifs alors que certains sites en https sont dangereux.


Le problème n'est pas qu'un site en lui-même est dangereux ou non, le problème c'est qu'un site "inoffensif" en http peut être détourné (attaques du genre man-in-the-middle) sans qu'on puisse le savoir, alors que le protocole https protège de ce genre d'attaques.
icone Suivre les commentaires
Poster un commentaire