Google è una delle aziende che ha spinto per l’ adozione massiccia dello standard HTTPS . Ora “Gli utenti di Chrome trascorrono oltre il 90% del tempo di navigazione in pagine che utilizzano il protocollo “. Ma lo standard HTTPS non offre ancora una garanzia di sicurezza assoluta , poiché alcune pagine di aspetto sicuro continuano a caricare risorse tramite il protocollo HTTP. In una nota pubblicata sul blog Chromium, Google ha annunciato nuove misure per bloccare le pagine Web che presentano questo difetto chiamato “contenuto misto”.

Google Chrome attacca pagine HTTPS non garantite

La pratica di contenuti misti consiste nel caricare un sito tramite una pagina HTTPS includendo al contempo contenuti HTTP che potrebbero compromettere la sicurezza degli utenti. Poiché le pagine Web sono attualmente autorizzate a caricare componenti Web da un pool di pagine protette e non protette, gli aggressori possono sfruttare questa vulnerabilità per iniettare codice dannoso o caricare contenuto scaricabile contenente malware . come spiegato da un dipendente di Google in un messaggio inviato ai membri del World Wide Web Consortium (W3C) qualche mese fa.

L’azienda ha appena presentato il suo piano di attacco per frenare il fenomeno. Adotterà un approccio progressivo che comporterà il blocco sistematico di tutti i tipi di contenuti misti da Chrome 81 previsto tra febbraio e aprile 2020. Va notato che Google blocca già alcuni script e contenuti iframe per impostazione predefinita. Per una maggiore flessibilità, Chrome 79 offrirà un’opzione per consentire agli utenti di sbloccare determinate pagine che ritengono affidabili, dopodiché il processo di blocco progressivo di altri tipi di contenuti misti verrà attivato da Chrome 80, previsto per l’inizio del 2020 .

Lascia una recensione

Please Login to comment
avatar
  Subscribe  
Notificami