O que é conteúdo misto

O Google Chrome já bloqueia alguns tipos de conteúdo misto na web.

Agora, o Google anunciou que a coisa vai ficar ainda mais sério: a partir do início de 2020, o Chrome bloqueará, por padrão, todo conteúdo misto, quebrando algumas páginas de sites existentes. Veja o que isso significa.

O que é conteúdo misto?

Existem dois tipos de conteúdo:

  • conteúdo entregue por uma conexão HTTPS segura e criptografada e
  • conteúdo entregue por uma conexão HTTP não criptografada.

Quando você usa HTTPS, o conteúdo não pode ser bisbilhotado ou adulterado em trânsito pela web, e é por isso que os sites devem oferecer criptografia ao lidar com informações financeiras ou dados privados.

A web está indo na direção de proteger sites HTTPS. Se você se conectar a um site HTTP antigo sem criptografia, o Google Chrome agora avisa que esses sites “não são seguros”. O  Google agora, por padrão, oculta o indicador “https: //”, pois os sites devem ser protegidos por padrão.

Mas algumas páginas da web não podem ser totalmente HTTPS nem completamente HTTP.

Algumas páginas são entregues por uma conexão HTTPS segura, mas extraem imagens, scripts ou outros recursos por meio de uma conexão HTTP não criptografada.

Essas páginas têm o que denominamos “conteúdo misto” porque não são totalmente seguras. A página da web em si pode não ter sido adulterada, mas pode gerar um script, imagem ou iframe (uma página da web dentro de um “quadro” em outra página da web) que pode ter sido adulterada.

Por que o conteúdo misto é ruim

Conteúdo misto é algo confuso. De alguma forma, você está visualizando uma página da Web segura e não segura ao mesmo tempo.

Por exemplo, uma página da web geralmente segura e protegida pode gerar um arquivo JavaScript via HTTP. Esse script pode ser modificado (por exemplo, se você estiver em uma rede Wi-Fi pública que não seja confiável) para fazer muitas coisas desagradáveis ​​na página, desde o monitoramento de teclas pressionadas até a inserção de um cookie de rastreamento.

Embora scripts e iframes sejam os mais perigosos, até imagens, vídeos e conteúdo misto de áudio podem ser um risco.

Por exemplo, imagine que você esteja visualizando um site seguro que negocia ações e que obtém uma imagem do histórico de uma ação via HTTP. Essa imagem não é segura pois pode ter sido adulterada em trânsito para mostrar detalhes incorretos.

Além disso, como foi entregue através de uma conexão não criptografada, qualquer pessoa que bisbilhote os dados em trânsito provavelmente saberá qual o material que você está procurando.

Portanto, é uma má ideia misturar conteúdo como este. Se uma página estiver usando HTTPS, todos os seus recursos também deverão ser acessados ​​via HTTPS.

Trata-se de apenas um acidente histórico, pois a web começou com HTTP e os sites foram gradualmente atualizados para HTTPS. Enquanto os sites faziam essas atualizações, os proprietários nem sempre se preocupavam em atualizá-los para usar os recursos HTTPS em qualquer lugar. Ou podem ter ficado na dependência de recursos de terceiros que não suportava HTTPS naquele momento.

Agora, com o Google e outros desenvolvedores de navegadores tornando o conteúdo misto mais difícil e desanimador, muitos sites terão que consertas as coisas para que suas páginas continuem funcionando por padrão.

O que exatamente está mudando no Chrome?

Atualmente, o Chrome bloqueia scripts e iframes mistos.

No Chrome 80, que será lançado em janeiro de 2020, o Chrome bloqueará recursos mistos de áudio e vídeo (tecnicamente, tentará carregá-los em uma conexão HTTPS segura e, se não conseguir, vai bloqueá-los).

As imagens mistas serão carregadas, mas o Chrome avisará aos usuários que a página é “Não segura”.

No Chrome 81, o navegador também interromperá o carregamento de imagens mistas. Os usuários podem permitir que o conteúdo misto seja carregado, mas isso não será padrão.

Tudo faz parte de tornar a web mais segura. A postagem no blog do Google diz que isso motive os sites a migrarem suas imagens para HTTPS.

Como o Chrome permitirá que o usuário desbloqueie conteúdo misto

O Chrome já bloqueia alguns tipos de conteúdo misto com um ícone de escudo na barra de endereço e a mensagem “Conteúdo não seguro bloqueado”.

Você pode ver como ele funciona nesta página de exemplo de conteúdo misto criada pelo Google.

Por exemplo, para desbloquear um script de conteúdo misto, você deve clicar no link chamado “Carregar scripts não seguros”.

Se você concorda em executar o conteúdo misto, a página muda de Seguro para Não Seguro.

O Google simplificará isso para o Chrome 79, que será lançado em dezembro de 2019. Você precisará clicar no ícone de cadeado à esquerda do endereço da página, clicar em “Configurações do site” e desbloquear conteúdo misto para esse site.

A opção fica oculta, mas esse é o ponto: a maioria das pessoas nunca precisa ativar o conteúdo misto de um site. Os desenvolvedores de sites precisam corrigir seus sites para fornecer recursos com segurança. Essa opção garantirá que qualquer pessoa que use um site comercial antigo possa continuar acessando, mesmo quando o conteúdo misto estiver desativado para todos.

Se você precisar de um site que exija isso, não se preocupe: o Google não anunciou uma data para remover a opção de carregar conteúdo misto no Chrome. O navegador da Web do Google bloqueará todo o conteúdo misto por padrão, mas continuará oferecendo uma opção para habilitar o conteúdo misto em um futuro próximo.

E quanto a outros navegadores?

O Chrome não está sozinho nisso.

O Firefox também bloqueia conteúdo misto, como scripts e iframes, e exige que você clique na configuração “Desativar proteção por enquanto” para reativá-lo.

O Safari da Apple também é agressivo quanto a bloquear conteúdo misto.

E, é claro, o novo navegador Edge da Microsoft será baseado no código Chromium que forma a base do Google Chrome e se comportará como ele.

Fernando Gallas

Desenvolvedor web desde 2001. WordPress, PHP, Python.

Comente