HTTPS : Google Chrome va bloquer tout le contenu mixte par défaut

Le par  |  10 commentaire(s)
Chrome-logo

Google Chrome va s'attaquer plus sérieusement au contenu mixte dans son ensemble en bloquant prochainement tout le contenu non sécurisé dans des pages HTTPS.

Selon les chiffres de Google, les utilisateurs de Chrome passent " plus de 90 % de leur temps à naviguer via HTTPS sur toutes les plateformes majeures. " À partir de l'année prochaine, la chasse au contenu mixte va s'intensifier.

Un contenu mixte fait référence à des ressources comme des images, vidéos, feuilles de style ou encore scripts qui sont chargées par le biais d'une connexion non sécurisée HTTP alors que c'est une connexion avec le protocole HTTPS qui a été initiée.

Des contenus HTTP et HTTPS sont ainsi chargés afin d'afficher la même page, d'où la notion de contenu mixte. Le cas échéant, les navigateurs alertent l'utilisateur pour ce qui représente un risque avec des attaques de type man-in-the-middle.

HTTPS_logo

Google Chrome va bloquer tout le contenu mixte par défaut. Comme souvent, cela se fera de manière progressive, notamment le temps que les développeurs s'adaptent, sachant que des scripts ou iframes sont en réalité déjà bloqués par défaut.

Dans la mesure du possible, du contenu HTTP sera automatiquement mis à niveau vers HTTPS si des ressources sont disponibles comme pour l'audio et la vidéo. Un même traitement sera ultérieurement appliqué pour les images.

Sans possibilité de mise à niveau pour un chargement via HTTPS, ce sera donc le blocage par défaut. Tout devrait être en place avec la version 81 de Google Chrome. Le calendrier avec les différentes étapes est détaillé dans ce billet de blog.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2079893
Et un contenu "mixte" cross plateforme ?

Genre un forum qui est en https, et dont les utilisateurs mettent des images https d'un autre site.

Affichage ou pas ?
Le #2079895
Firefox le fait déjà depuis longtemps
Le #2079896
FRANCKYIV a écrit :

Et un contenu "mixte" cross plateforme ?

Genre un forum qui est en https, et dont les utilisateurs mettent des images https d'un autre site.

Affichage ou pas ?


Bah c'est pas mixte, si c'est des images https sur un forum https...
Le #2079897
Crevax a écrit :

FRANCKYIV a écrit :

Et un contenu "mixte" cross plateforme ?

Genre un forum qui est en https, et dont les utilisateurs mettent des images https d'un autre site.

Affichage ou pas ?


Bah c'est pas mixte, si c'est des images https sur un forum https...


Oui mais affichage ou pas ? Sachant que ce n'est pas la même source (même si https).
Le #2079901
FRANCKYIV a écrit :

Crevax a écrit :

FRANCKYIV a écrit :

Et un contenu "mixte" cross plateforme ?

Genre un forum qui est en https, et dont les utilisateurs mettent des images https d'un autre site.

Affichage ou pas ?


Bah c'est pas mixte, si c'est des images https sur un forum https...


Oui mais affichage ou pas ? Sachant que ce n'est pas la même source (même si https).


Moi je comprends qu'elle sera affichée. Le fonctionnement est un scan de la page qui bloquera les éléments dont l'URL commencera par "http". C'est assez basique en fait.

Source : https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content

Edit : et surtout Chrome tentera de forcer le passage en https pour tout même essayer de faire le boulot du dev et de charger la source. Ça m'a l'air bien pensé.
Le #2079902
Kiriito a écrit :

FRANCKYIV a écrit :

Crevax a écrit :

FRANCKYIV a écrit :

Et un contenu "mixte" cross plateforme ?

Genre un forum qui est en https, et dont les utilisateurs mettent des images https d'un autre site.

Affichage ou pas ?


Bah c'est pas mixte, si c'est des images https sur un forum https...


Oui mais affichage ou pas ? Sachant que ce n'est pas la même source (même si https).


Moi je comprends qu'elle sera affichée. Le fonctionnement est un scan de la page qui bloquera les éléments dont l'URL commencera par "http". C'est assez basique en fait.

Source : https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content


Ok, cool dans ce cas
Le #2079908
Déja ok pour ces merdes avec 2/3 extentions sur opera.
Le #2079951
Kiriito a écrit :

FRANCKYIV a écrit :

Crevax a écrit :

FRANCKYIV a écrit :

Et un contenu "mixte" cross plateforme ?

Genre un forum qui est en https, et dont les utilisateurs mettent des images https d'un autre site.

Affichage ou pas ?


Bah c'est pas mixte, si c'est des images https sur un forum https...


Oui mais affichage ou pas ? Sachant que ce n'est pas la même source (même si https).


Moi je comprends qu'elle sera affichée. Le fonctionnement est un scan de la page qui bloquera les éléments dont l'URL commencera par "http". C'est assez basique en fait.

Source : https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content

Edit : et surtout Chrome tentera de forcer le passage en https pour tout même essayer de faire le boulot du dev et de charger la source. Ça m'a l'air bien pensé.


Oui pour moi c'est ça: S'il y a ne serait-ce qu'un demi octet en http, c'est bloqué sinon, tout https, même de sources différentes, c'est bon.
Le #2079976
C'est aussi crétin que de bloquer les voitures en fonction de leur ancienneté. De même que certaines vieilles voitures sont légères et polluent moins que d'autres plus récentes mais plus lourdes, certains sites en http sont inoffensifs alors que certains sites en https sont dangereux.
Le #2079978
billgatesanonym a écrit :

C'est aussi crétin que de bloquer les voitures en fonction de leur ancienneté. De même que certaines vieilles voitures sont légères et polluent moins que d'autres plus récentes mais plus lourdes, certains sites en http sont inoffensifs alors que certains sites en https sont dangereux.


Le problème n'est pas qu'un site en lui-même est dangereux ou non, le problème c'est qu'un site "inoffensif" en http peut être détourné (attaques du genre man-in-the-middle) sans qu'on puisse le savoir, alors que le protocole https protège de ce genre d'attaques.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme