Votre site Web va probablement casser bientôt | Nous pouvons vous aider à y remédier

NRZ.Digital
0 0

Vous trouverez ci-dessous un communiqué de presse publié sur le blog Chrome. Nous encourageons vivement nos clients à déterminer si leur site a été mis à jour pour éviter que des «  choses  » ne se cassent en raison du manque de sécurité appropriée promue par Google Chrome.

Veuillez nous contacter si vous avez besoin d’aide pour comprendre les paramètres de sécurité actuels de votre site Web. Notre équipe de développement de site Web est prête à vous aider à maintenir et à pérenniser le contenu de votre site Web dès aujourd’hui.

Jeudi 3 octobre 2019

Mise à jour (6 avril 2020): la mise à niveau automatique des images mixtes était initialement prévue pour Chrome 81, mais sera retardée au moins jusqu’à Chrome 84. Vérifiez le Entrée d’état de la plate-forme Chrome pour les dernières informations sur le moment où les images mixées seront auto-upgraded et bloqués s’ils ne parviennent pas à se charger via https: //. Les sites contenant des images mixtes continueront de déclencher l’avertissement «Non sécurisé».

Aujourd’hui, nous annonçons que Chrome commencera progressivement à garantir que les pages https: // ne peuvent charger que des sous-ressources https: // sécurisées. Dans une série d’étapes décrites ci-dessous, nous commencerons à bloquer contenu mixte (sous-ressources http: // non sécurisées sur https: // pages) par défaut. Ce changement améliorera la confidentialité et la sécurité des utilisateurs sur le Web et présentera aux utilisateurs une UX de sécurité du navigateur plus claire.

Au cours des dernières années, le Web a fait de grands le progrès lors de la transition vers HTTPS: les utilisateurs de Chrome passent désormais plus de 90% de leur temps de navigation sur HTTPS sur toutes les principales plates-formes. Nous nous efforçons maintenant de nous assurer que les configurations HTTPS sur le Web sont sécurisées et à jour.

Les pages HTTPS souffrent généralement d’un problème appelé contenu mixte, où les sous-ressources de la page sont chargées de manière non sécurisée sur http: //. Les navigateurs bloquent par défaut de nombreux types de contenu mixte, comme les scripts et les iframes, mais les images, l’audio et la vidéo sont toujours autorisés à se charger, ce qui menace la confidentialité et la sécurité des utilisateurs. Par exemple, un attaquant pourrait altérer une image mixte d’un graphique boursier pour tromper les investisseurs, ou injecter un cookie de suivi dans une charge de ressources mixte. Le chargement de contenu mixte conduit également à une UX de sécurité du navigateur déroutante, où la page est présentée comme ni sécurisée ni non sécurisée, mais quelque part entre les deux.

Au cours d’une série d’étapes à partir de Chrome 79, Chrome passera progressivement au blocage de tous les contenus mixtes par défaut. Pour minimiser la rupture, nous mettrons à niveau automatiquement les ressources mixtes vers https: //, de sorte que les sites continueront de fonctionner si leurs sous-ressources sont déjà disponibles sur https: //. Les utilisateurs pourront activer un paramètre pour désactiver le blocage de contenu mixte sur des sites Web particuliers, et nous décrirons ci-dessous les ressources disponibles pour les développeurs pour les aider à trouver et à corriger le contenu mixte.

Chronologie

Au lieu de bloquer tout le contenu mixte en même temps, nous allons déployer ce changement en une série d’étapes.

  • Dans Chrome 79, sortant sur un canal stable en décembre 2019, nous allons introduire un nouveau paramètre pour débloquer le contenu mixte sur des sites spécifiques. Ce paramètre s’appliquera aux scripts mixtes, aux iframes et à d’autres types de contenu que Chrome bloque actuellement par défaut. Les utilisateurs peuvent basculer ce paramètre en cliquant sur l’icône de verrouillage sur n’importe quelle page https: // et en cliquant sur Paramètres du site. Cela remplacera l’icône de bouclier qui apparaît sur le côté droit de l’omnibox pour débloquer le contenu mixte dans les versions précédentes de Chrome de bureau.
  • Dans Chrome 80, les ressources audio et vidéo mixtes seront automatiquement mises à niveau vers https: // et Chrome les bloquera par défaut si elles ne parviennent pas à se charger via https: //. Chrome 80 sortira sur les canaux de version anticipée en janvier 2020. Les utilisateurs peuvent débloquer les ressources audio et vidéo concernées avec le paramètre décrit ci-dessus.
  • Aussi dans Chrome 80, les images mixtes seront toujours autorisées à se charger, mais Chrome affichera une puce «Non sécurisé» dans l’omnibox. Nous prévoyons qu’il s’agit d’une interface utilisateur de sécurité plus claire pour les utilisateurs et qu’elle incitera les sites Web à migrer leurs images vers HTTPS. Les développeurs peuvent utiliser le demandes de mise à niveau non sécurisées ou bloc-tout-contenu-mixte Directives de politique de sécurité du contenu pour éviter cet avertissement. Voici le traitement prévu:
  • Dans Chrome 81, les images mixtes seront automatiquement mises à niveau vers https: //, et Chrome les bloquera par défaut si elles ne parviennent pas à se charger via https: //. Chrome 81 sortira sur les canaux de lancement anticipé en février 2020.

Ressources pour les développeurs

Les développeurs doivent immédiatement migrer leur contenu mixte vers https: // pour éviter les avertissements et les ruptures. Voici quelques ressources:

  • Utilisation Politique de sécurité du contenu et PhareAudit de contenu mixte pour découvrir et corriger le contenu mixte sur votre site.
  • Voir ce guide pour obtenir des conseils généraux sur la migration des serveurs vers HTTPS.
  • Vérifiez auprès de votre CDN, de votre hôte Web ou de votre système de gestion de contenu pour voir s’ils disposent d’outils spéciaux pour le débogage de contenu mixte. Par exemple, Cloudflare propose un outil pour réécrire du contenu mixte sur https: // et WordPress plugins sont également disponibles.

Publié par Emily Stark et Carlos Joan Rafael Ibarra Lopez, équipe de sécurité Chrome

Contactez Social Link pour vous aider à naviguer dans les mises à jour nécessaires pour vous assurer que votre site est protégé contre la rupture après cette version.

Happy
Happy
0
Sad
Sad
0
Excited
Excited
0
Sleppy
Sleppy
0
Angry
Angry
0
Surprise
Surprise
0

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

Laisser un commentaire

Next Post

Qui est la principale agence de marketing de contenu au monde?

C’est GrowTraffic bien sûr! Non, je plaisante. Si GrowTraffic était la principale agence de marketing de contenu au monde, je ne serais pas assis ici à écrire ce blog. Je serais sur un yacht aux Bahamas. Eh bien, une fille peut rêver. Ainsi, GrowTraffic n’a pas encore atteint le statut […]

Abonnez-vous maintenant