گوگل سختگیری در قوانین پروتکل HTTPS را افزایش میدهد
گوگل سختگیری در قوانین پروتکل HTTPS را افزایش میدهد
گوگل در مرورگر محبوب خود، کروم، تغییراتی ایجاد میکند که سختگیری پروتکل HTTPS را در آن افزایش خواهد داد.
گوگل کروم از سال آینده سختگیری بیشتری روی وبسایتهایی اعمال میکند که به پروتکل HTTPS مهاجرت نکردهاند و هنوز برخی از منابع صفحات خود مانند تصویر، ویدئو، صدا یا اسکریپتها را از طریق HTTP بارگذاری میکنند. چنین رویکردی بهنام «محتوای ترکیبی» یا «mixed Content» شناخته میشود و از روزهای اول مهاجرت وبسایتها به HTTPS وجود داشت.
مرورگرها در سالهای گذشته چالش محتوای ترکیبی را تا زمانیکه دامنهی اصلی تحت HTTPS باشد، نادیده گرفتهاند. در سالهای زیادی از تاریخچهی اینترنت، HTTPS بهعنوان فناوری دور از بدنهی صنعت شناخته میشد و تنها وبسایتهای محدودی آن را اجرا میکردند. درواقع این پروتکل اکثرا بهعنوان یک پیشنیاز فنی الزامی شناخته نمیشود. بههرحال در سالهای اخیر گوگل و موزیلا همهی تلاش خود را به کار گرفتند تا وبسایتها را تشویق به مهاجرت به HTTPS کنند.
موزیلا و شرکای تجاریاش در مسیر گسترش HTTPS سرویسی بهنام Let’s Encrypt راهاندازی کردند که دسترسی رایگان و آسان به مجوزهای TLS را به مدیران سرور میداد؛ درنتیجه آنها آسانتر میتوانستند پروتکل HTTPS را در وبسایت خود پیادهسازی کنند.
گوگل برای ایفای نقش کاربردی در گسترش HTTPS، بهصورت پیوسته تغییراتی را در کروم ایجاد میکند. بههرحال کروم محبوبترین مرورگر جهان محسوب میشود و اعمال قوانین و پیادهسازی رویکردها برای استفاده از HTTPS در آن اهمیت بالایی دارد. بهعلاوه آنها قبلا در حوزههای متعدد از موقعیت خود بهعنوان فرمانروای بازار استفاده کردهاند تا رویکردهایی را در میان توسعهدهندههای وبسایت و کاربران نهایی نهادینه کنند.
کروم در اقدامهای متعدد تلاش کرد تا امنیت پایین عدم استفاده از HTTPS را به کاربران گوشزد کند. در اقدام اولیه، نشانههای Not Secure در فرمها و بخشهای ورود وبسایتهایی نمایش داده میشد که از طریق پروتکل HTTP بارگذاری میشدند. بهعلاوه اگر دامنهی وبسایتی تحت HTTPS بارگذاری میشد اما محتوای ترکیبی در آن وجود داشت، علامت سبز امنیت در کنار آدرس نمایش داده نمیشد. درنهایت دانلود از طریق HTTP از وبسایتهایی با آدرس HTTPS هم متوقف شد.
گوگل علاوهبر تغییرهای فنی، رویکرد خود را هم در قبال وبسایتهای HTTP و HTTPS تغییر داد. اکنون بهجای نمایش علامت Secure در وبسایتهای مجهز به HTTPS، علامت Not Secure در وبسایتهای مبتنی بر HTTP نمایش داده میشود تا بهنوعی یک جریمه برای آن وبسایت لحاظ شده باشد.
۹۰ درصد ترافیک کروم از طریق HTTPS منتقل میشود
تمامی رویکردهای بالا تأثیر مثبتی بر تغییر مسیر به HTTPS داشتهاند. تعداد وبسایتها و سرویسهای آنلاینی که از این پروتکل استفاده میکنند، روزبهروز بیشتر میشود. مهندسان گوگل در یک پست وبلاگی به این نکته اشاره کردند که کاربران کروم امروز ۹۰ درصد از زمان مرور وب را از طریق پروتکل HTTPS میگذرانند.
گوگل اکنون در ادامهی مسیر جدی خود برای پیادهسازی HTTPS، تلاش میکند تا صاحبان وبسایتها را به انتقال کامل (و نهتنها دامین) وبسایت به HTTPS تشویق کند. در بیانیهی این شرکت میخوانیم که از کروم ۷۹، تمامی محتوای ترکیبی موجود در وبسایتها مسدود خواهد شد. در بخشی از بیانیهی شرکت میخوانیم:
برای به حداقل رساندن مشکلات عدم بارگذاری وبسایتها، منابع ترکیبی را بهصورت خودکار به //:https بهروزرسانی میکنیم. درنتیجه اگر وبسایتی منابع زیرمجموعهای خود را از طریق //:https ارائه کند، مشکلی برای ادامهی کار نخواهد داشت.
علاوه بر قابلیت بالا، راهکاری دیگر هم برای کاهش اثرات منفی قوانین جدید روی تجربهی کاربران پیادهسازی میشود. گوگل تنظیماتی را در مرورگر خود اضافه میکند که امکان خروج از برنامهی مسدودسازی محتوای ترکیبی را در وبسایتهای مورد نظر کاربران به آنها میدهد. شرکت در ادامه برنامهی توسعهی کروم را در ارتباط با HTTPS اینگونه شرح داد:
- «در کروم ۷۹ که نسخهی پایدار آن دسامبر ۲۰۱۹ منتشر میشود، تنظیماتی جدید برای باز کردن محتوای ترکیبی در برخی وبسایتها وجود خواهد داشت. این تنظیمات روی محتوایی همچون اسکریپتهای ترکیبی، کدهای iframe و دیگر انواع محتوا اعمال میشود که کروم بهصورت پیشفرض آنها را مسدود میکند. کاربران برای استفاده از تنظیمات مذکور میتوانند روی آیکن قفل در هر صفحهی //:https کلیک کنند و با واردشدن به بخش Site Settings، تنظیمات را تغییر دهند. این بخش جایگزین آیکن سپر میشود که برای بازکردن محتوای ترکیبی در نسخههای قبلی کروم دسکتاپ در سمت راست جعبهی اطلاعات وبسایت نمایش داده میشد.
- در کروم ۸۰، منابع ترکیبی صوتی و تصویری بهصورت خودکار به //:https بهروزرسانی میشوند. البته اگر محتوا قابلیت بارگذاری از طریق HTTPS را نداشته باشد، کروم آن را مسدود میکند. کروم ۸۰ ژانویهی ۲۰۲۰ برای کانالهای توزیع ابتدایی عرضه میشود. کاربران باز هم با مراجعه به تنظیمات بالا میتوانند محتوای صوتی و تصویری مسدودشده را بارگذاری کنند.
- بهعلاوه در کروم ۸۰ محتوای ترکیبی از جنس تصویر امکان بارگذاری خواهد داشت. البته بهخاطر وجود چنین منابعی در یک وبسایت، علامت و عبارت Not Secure در کنار آدرس آن ذکر میشود. ما اعتقاد داریم این رویکرد، رابط کاربری امنیتی دقیقتری را برای کاربران ایجاد و وبسایتها را به جابهجایی تصاویر به HTTPS تشویق میکند. توسعهدهندهها میتوانند با مراجعه به راهکارهای upgrade-insecure-requests و block-all-mixed-content در Content Security Policy، از بروز این هشدار جلوگیری کنند.
- در کروم ۸۱، محتوای ترکیبی تصویری هم بهصورت خودکار به //:https بهروزرسانی میشود. بهعلاوه اگر محتوا قابلیت بارگذاری با https را نداشته باشد، بهصورت خودکار مسدود میشود. کروم ۸۱ فوریهی ۲۰۲۰ در کانالهای ابتدایی توزیع عرضه میشود.»
بیانیه و آموزشهای گوگل، به وبمسترها توصیه میکند که از عدم بارگذاری منابع از طریق HTTP مطمئن شوند. منظور از منابع، هرگونه محتوای iframe، کوکی، فایلهای CSS و جاوااسکریپت، صوت، ویدئو و خصوصا تصویر است. مهندسان گوگل برای شروع تغییر در روند بارگذاری، منابع زیر را پیشنهاد میکنند:
- «از بخش بازرسی محتوای ترکیبی Content Security Policy و Lighthouse استفاده کنید تا محتوای ترکیبی موجود در وبسایت را شناسایی کنید.
- منابع موجود برای مهاجرت به HTTPS مانند این لینک را مطالعه کنید.
- سیستمهای مدیریت محتوا و میزبان وب و CDN را بررسی کنید؛ شاید آنها ابزارهای لازم را برای دیباگ کردن محتوای ترکیبی داشته باشند؛ بهعنوان مثال اکنون کلودفلر ابزارهای متعددی برای این منظور دارد و افزونههای وردپرس متعددی هم در مخزن وردپرس وجود دارند.»
منبع:www.zoomit.ir