Загрузка картинок с незащищённых сайтов тоже будет блокироваться

Google продолжает продвигать HTTPS, всё больше ограничивая в возможностях сайты, у которых нет TLS-сертификатов, хотя таких сайтов осталось уже мало. С июля прошлого года Chrome начал помечать такие сайты как небезопасные. Сейчас следующий шаг — компания анонсировала ряд шагов по постепенной блокировке смешанного контента.

Смешанный контент (mixed content) — это незащищённые элементы, передаваемые по HTTP-протоколу через страницы с SSL-сертификатом. Например, изображения, аудио и видео со сторонних (незащищённых) доменов. От такой практики придётся отказаться совсем.

«За последние годы в интернете достигнут большой прогресс в переходе на HTTPS: доля защищённого трафика в Chrome превысила 90% на всех основных платформах. Теперь мы хотим убедиться, что конфигурации HTTPS через интернет являются безопасными и актуальными», — объясняется в официальном блоге компании.

Сейчас браузеры по умолчанию блокируют многие типы смешанного контента, в том числе скрипты и фреймы, но мультимедийные элементы ещё загружаются. По мнению специалистов Google, это угрожает конфиденциальности и безопасности пользователей. Поскольку такой трафик не шифруется, то он подвержен всем видам MiTM-атак. Например, злоумышленник может подделать биржевой график, чтобы ввести в заблуждение инвесторов, или поставить на страницу следящий трекер.

Загрузка смешанного контента также вводит в заблуждение с точки зрения UX-интерфейса. Получается, что страница представлена ни как безопасная, ни как небезопасная, а где-то между ними.

«Начиная с версии Chrome 79 будет происходить постепенная блокировка по умолчанию всего смешанного контента. Чтобы минимизировать ущерб, мы автоматически переведём смешанные ресурсы на https://, поэтому сайты будут продолжать автоматически работать, если их сторонние ресурсы доступны также по https://, — поясняет Google. — Пользователи смогут включить параметр, чтобы отказаться от блокировки смешанного контента на определённых веб-сайтах».

Chrome 79 выйдет на стабильном канале в декабре 2019 года. Там появится новая настройка для разблокировки смешанного контента на определённых сайтах. Этот параметр будет применяется к скриптам, фреймам и другим типам контента, которые Chrome в настоящее время блокирует по умолчанию. Доступ к настройкам сайта (Site settings) открывается по нажатию на пиктограмму замочка, как показано на скриншоте.



На втором этапе с версии Chrome 80 (ранние версии появятся в январе 2020 года) все ресурсы, кроме изображений, которые подгружаются с незащищённых сайтов, будут автоматически переведены на https://, и Chrome заблокирует их по умолчанию, если они не смогут загружаться по . Описанная выше настройка по разблокировке останется доступна.

Единственным исключением станут изображения, которые браузер не будет блокировать даже с незащищённых соединений. Но для таких ситуаций в интерфейсе появится предупреждение «Не безопасно», как на скриншоте.



В Chrome 81 (ранние версии появятся в феврале 2020 года) изображения тоже будут автоматически переведены на https://, и Chrome заблокирует их по умолчанию, если они не загружаются по HTTPS.

Google рекомендует веб-разработчикам провести аудит своих ресурсов с помощью инструмента Lighthouse или использовать сторонние плагины и утилиты. Например, есть такой плагин для WordPress и утилита от Cloudflare.

См. также «Полное руководство по переходу на HTTPS» на Хабре.

Изменения в Chrome вскоре повторят остальные браузеры. Google обычно не делает такие шаги в изоляции. Всё происходит согласованно с коллегами из групп разработки Firefox, Edge и Safari. Поэтому в 2020 году никакой смешанный контент нигде не будет загружаться.




СПЕЦИАЛЬНЫЕ УСЛОВИЯ на PKI-решения для предприятий действуют до 30.11.2019 г. по промо-коду AL002HRFR для новых клиентов. Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.

Комментарии (55)


  1. DaemonGloom
    11.10.2019 12:01

    А что в этом такого страшного, что это изменение во всех новостях поднимают?
    IE занимался этим ещё с 9 версии.

    Cause
    This message is telling you that there may be both secure and non-secure content on the page. Secure and non-secure content, or mixed content, means that a webpage is trying to display elements using both secure (HTTPS/SSL) and non-secure (HTTP) web server connections. This often happens with online stores or financial sites that display images, banners, or scripts that are coming from a server that is not secured. The risk of displaying mixed content is that a non-secure webpage or script might be able to access information from the secure content.
    Resolution
    Important: Internet Explorer blocks non-secure content by default and is set to prompt you when this is happening. Changing this setting may make your computer vulnerable to viral, fraudulent or malicious attacks. Microsoft does not recommend that you attempt to change this setting. Modify this setting at your own risk.


  1. Sirion
    11.10.2019 12:17
    +1

    Сначала прочитал «Chrome полностью заблокирует смешной контент».


  1. daggert
    11.10.2019 12:18
    -1

    Как-же мне не нравится этот насильный перевод всех на https… Скоро будут и вовсе блокировать сайт без сертификата, под предлогом безопасности пользователя.


    1. dartraiden
      11.10.2019 12:30
      +4

      Отсутствие HTTPS это и есть отсутствие безопасности.

      Например, оборудование СОРМ у некоторых провайдеров спокойно вываливало перехваченные данные на обозрение всем желающим.

      Проще и надёжнее заставить всех применять шифрование, чем надеяться, что разработчик очередного веб-сервиса достаточно компетентен, чтобы грамотно оценить, где обязательно нужно шифровать, а где можно и обойтись.


      1. Alexey2005
        11.10.2019 12:58
        +1

        Вот только недостаточно компетентный разработчик и шифрование нормально настроить не сможет. Особенно есть учесть, что там всё словно нарочно устроено так, чтобы внедрять было как можно сложнее, а уж о подходе «настроил один раз и забыл на 5 лет» можно вообще забыть.
        В итоге как же задалбывает, когда на тот или иной ресурс не зайти из-за неправильной фазы Луны и состояния долбанных сертификатов.
        И ведь даже весьма крупные ресурсы

        не застрахованы от этого
        Очередная хрень с сертификатами на toster.ru


        1. dartraiden
          11.10.2019 13:05

          Особенно есть учесть, что там всё словно нарочно устроено так, чтобы внедрять было как можно сложнее
          Настроить автоматический выпуск бесплатного сертификата и переадресацию с HTTP на HTTPS, вроде бы, несложно. Это самый минимум, никто не заставляет наворачивать key pinning и прочие фичи.

          Проблемы могут возникнуть у старых операционных систем типа Windows XP, но тут пользователь ССЗБ.

          о подходе «настроил один раз и забыл на 5 лет» можно вообще забыть.
          Я человек простой, люблю настроить один раз и забыть, пусть автоматика перевыпускает сертификат. То, что раз в N лет может сделать робот, пусть и делает робот, а себе я оставлю только то, что машина сделать не может, поскольку моё время бесценно — жизнь лишь одна. Иначе, через 5 лет окажется, что сертификат протух, а человек, ответственный за его перевыпуск, благополучно просрал все полимеры и уехал в отпуск.

          А раз это делает робот, то ему пофиг, раз в 5 лет перевыпускать или раз в полгода. Он — всего лишь программа, которая делает дело и беспокоит человека только в случае ошибки, как и полагается хорошо воспитанному слуге.


          1. tcapb1
            13.10.2019 22:50

            С одной стороны — вроде несложно. С другой стороны — всё равно действия по поддержке. Если сайт живой и есть ресурсы его поддерживать — ничего страшного. Однако есть куча сайтов, которые один раз сделали, и они просто работают. У меня есть сайты, которые я написал лет 10 назад и с тех пор не трогал. И не хочу трогать: я уже не помню где там что прикручено, по многим у меня уже и доступов нет. Т.е. с одной стороны цель благая, а с другой стороны возникают сложности для таких legacy проектов. Философия «один раз сделал — работает всегда» больше не работает.

            Ну и плюс такая политика по принудительной «блокировке» сайтов не подходящих по требованиям может когда-нибудь начать использоваться и во зло.


        1. vmarunin
          13.10.2019 00:08

          У меня вот недавно протух 5 летний сертификат.
          Столько беготни было по перевыпуску! Мониторинг за месяц заорал, ели успели.
          Он был прошит в стольких местах, и деплой каждого места это же прям процедура! Согласования, тестирование и т.д.

          Сертификаты, выпускаемые на год меняются руками без проблем. Let's Encrypt вообще поставил, крон настроил и забыл.


      1. daggert
        11.10.2019 13:19

        Не для всех сайтов нужен https. У меня местечковый сайт, стоит на местечковом анлимитном бесплатном шаред-хостинге (предложите мне 2ТБ места и безлимит по трафику?), на нем нет авторизации или регистрации, на нем нет рекламы, он даже не в поиске гугла и не виден за пределами локальной сети, у него старый php5 и апач 2.0. Ему не нужен никакой https. Если будут смотреть трафик — пусть смотрят, те 40 посетителей в день не будут против, но доверять левому серверу сертификации и переделывать всю инфраструктуру ради галочки "безопасно" — выглядит как прохождение ТО у частников: "аптечка есть? годен!".


        Больше надо опасаться взлома неправильно настроенного сервера, т.к. куча "мамкиных хакеров" на свои сайты поставили сертификаты методом "купил vds за 100р, нашел в гугле инструкцию по настройке и сделал ctrl+c -> ctrl+v", без какого-либо осознания что они вообще натворили.


        Как по мне — вся идея с сертификатами это просто сужение рынка для извлечения прибыли — убийство простых шаредов и перевод на вдс, где требуется значительно большие навыки для настройки и цена ошибки выше.


        1. Aingis
          11.10.2019 14:01

          На самом деле вам нужен https. Вот пример того, как оператор вмешивается в трафик и меняет то, что видят пользователи: Билайн вмешивается в трафик пользователей. Это не единственный пример, и не один такой оператор.

          Если вы хотите отдавать сайт именно в том виде, котором задумывался, то единственный способ обеспечить это — https.

          Кроме того, провайдеры и спецслужбы, следя за трафиком, могут составлять портрет пользователя, и продавать рекламодателям, например, а то и вовсе подсовывать руткиты. Сходу не нашлось, но и такие публикации были.


          1. daggert
            11.10.2019 14:21
            +1

            Опять двадцать пять… Если оператор захочет вмешаться в мой трафик — он просто заменит файлы на шареде. Если это захочет сделать ОПСОС — он просто сделает редирект вида "Вы действительно хотите перейти на сайт?" на любое новое обращение "в мир" и ненавязчивая реклама.


            Если вы хотите отдавать сайт именно в том виде, котором задумывался, то единственный способ обеспечить это — https.

            Эту мантру я слышу от адептов https уже кучу лет, однако чаще всего я сталкиваюсь не с переходом от ОПСОСа (его вообще не видел), а с агрессивными рекламными сетями случайных сайтов.


            Кроме того, провайдеры и спецслужбы, следя за трафиком, могут составлять портрет пользователя, и продавать рекламодателям, например, а то и вовсе подсовывать руткиты.

            Пусть они это делают. Меня монополия Let's Encrypt и т.п. смущает в равной степени как монополия гугла или спеслужб.
            Про руткит но не смешно. Буквально сегодня зайдя на сайт одной ТК с ссылке гугла я попал на дорвей который сразу мне предложил скачать apk и разрешить их оповещения.


            Дайте мне и моим юзверям выбирать! Я подключался к всемирной СВОБОДНОЙ паутине, а мне сейчас одни навязывают чебурнет и блокировки телеги, а вторые блокировку сайта потому что он сделан не по фен-шую и не юзает CDN и https.


            1. megafonishe
              11.10.2019 14:44
              +1

              Если это захочет сделать ОПСОС — он просто сделает редирект вида «Вы действительно хотите перейти на сайт?» на любое новое обращение «в мир»

              Это называется MITM и как раз таки благодаря https провайдер не сможет вернуть вам какую-то левую страницу вместо запрошенной.

              Пусть они это делают.

              Ну за себя вы. конечно, имеете право решать, но почему вы так легко решаете, что вашим пользователям наплевать, что за ними следят?

              Меня монополия Let's Encrypt и т.п. смущает в равной степени как монополия гугла или спеслужб.

              Монополия — это единственный поставщик, единственный (а единственный ли?) бесплатный — нет.

              Дайте мне и моим юзверям выбирать

              Технически необразованный юзверь, коих большинство, выбирать не умеет, выбирать нужно за него.
              Владелецу ресурса с некоторой долей вероятности на подобные проблемы пользователей наплевать, и он выберет максимально простой вариант, следовательно, владельца ресурса надо подпинывать.


            1. Aingis
              11.10.2019 15:07
              +1

              Если оператор захочет вмешаться в мой трафик — он просто заменит файлы на шареде.
              Сами поняли, что сказали? Оператор не может влезть зашифрованный трафик. В худшем случае сайт не откроется с предупреждающей надписью. Сертификаты для этого и придуманы, чтобы нельзя было подменить сайты банков, например.
              …чаще всего я сталкиваюсь не с переходом от ОПСОСа (его вообще не видел), а с агрессивными рекламными сетями случайных сайтов.
              Оффтоп. То что где-то что-то хреново, не повод не делать хорошо.
              Меня монополия Let's Encrypt и т.п. смущает в равной степени как монополия гугла или спеслужб.
              Какая монополия? Вас кто-то заставляет им пользоваться? Выбирайте любой центр, на любой вкус и цену.
              …а мне сейчас одни навязывают чебурнет и блокировки телеги…
              Так чтобы чебурнет и операторский произвол не вмешивался на ваши сайты и нужен https. Это вы не даёте пользователям сайт, соответствующий современным стандартам.


              1. daggert
                11.10.2019 15:23

                Сами поняли, что сказали? Оператор не может влезть зашифрованный трафик. В худшем случае сайт не откроется с предупреждающей надписью. Сертификаты для этого и придуманы, чтобы нельзя было подменить сайты банков, например.

                Мой сайт на шареде. Менять шаред на ВДС для личного сайта не приносящего доход я не вижу смысла. Людей устраивает. У оператора моей сети, хостера этого шареда, есть полный доступ до всего. Может сменить в легкую. 10 лет не меняет.


                Оффтоп. То что где-то что-то хреново, не повод не делать хорошо.

                Вот. Золотые слова. Для меня смена шареда на ВДС и установка сертификатов и настройка ПО это хреново, я не сисадмин и делать буду по первой инструкции с интернета — будет ОЧЕНЬ хреново.


                Какая монополия? Вас кто-то заставляет им пользоваться? Выбирайте любой центр, на любой вкус и цену.

                Монополия гугла на показ сайта без https. Монополия центров сертификации. На мой вкус и цвет — чтоб не надо было вообще настраивать и бесплатно. Ни одного скрипта на сервере в кроне.


                Так чтобы чебурнет и операторский произвол не вмешивался на ваши сайты и нужен https.

                Зато я позволю гуглу диктовать мне правила ведения себя в интернете. Отлично. Тот-же самый чебурнет но от компании добра, они будут решать что я могу посещать, а что нет. Скоро все старые сайты, которые на бесплатных хостингах размещены и представляют собой огромную базу информации для таких как я — компьютерных и игровых некрофилов — превратятся в тыкву, потому как если обновить у них даже пыхапе — сайт улетит к чертям.


                Это вы не даёте пользователям сайт, соответствующий современным стандартам.

                Если они пользуются и не говорят что надо менять — я не буду менять ради соответствия веяниям моды. Некоторые мои внутряки живут десятки лет и все еще принимают по 20-40 человек в день. Если есть провайдеры и опсосы заменяющие контент на сайте — нужны законодательные меры для запрета данных действий — штрафы и санкции, а не вечная гонка брони и снаряда.


                1. Andrusha
                  11.10.2019 15:42

                  У оператора моей сети, хостера этого шареда, есть полный доступ до всего. Может сменить в легкую.
                  Речь идёт не про хостинг, а про операторов любых сетей, через которые идёт трафик между вашим хостингом и конечными пользователями, и которые тоже могут сменить влёгкую.
                  Соответственно
                  10 лет не меняет.
                  — вы не можете этого знать наверняка :)


                  1. daggert
                    11.10.2019 17:51
                    +1

                    Речь идёт не про хостинг, а про операторов любых сетей, через которые идёт трафик между вашим хостингом и конечными пользователями, и которые тоже могут сменить влёгкую.

                    У меня таких нет. Это внутряк. Он доступен только пользователям локалки без прохода по внешним сетям.


                    вы не можете этого знать наверняка :)
                    Знаю точно (;


                1. megafonishe
                  11.10.2019 15:56

                  Монополия гугла на показ сайта без https
                  Зато я позволю гуглу диктовать мне правила ведения себя в интернете
                  Гугл хром — далеко не единственный браузер. Претензии у гуглу — голосуйте ногами!


            1. pav5000
              11.10.2019 20:20

              Вы так пишете, будто вас заставляют перейти на https.
              Просто в адресной строке ваш сайт будет помечен как небезопасный и все. Вас это сильно будет напрягать?


              1. daggert
                11.10.2019 21:04

                Да. Простите с какой стати мой сайт более опасен чем средний дорвей на случайном адресе, но с сертификатом подтверждающим его домен?


                Все идет к тому что мой сайт будет помечаться не как "опасный", а на него войти можно только через легкий танец с бубном "Дополнительно -> Перейти на сайт (Может быть опасно)", что точно отпугнет пользователя, а тем более тот пласт на который сайт ориентирован (пенсионеры).


                1. Fedcomp
                  12.10.2019 06:31

                  Простите с какой стати мой сайт более опасен чем средний дорвей на случайном адресе, но с сертификатом подтверждающим его домен?

                  Потому что дорвей вам покажет то что хотел автор дорвея, а ваш сайт покажет вообще все что угодно. Или не покажет. Или накачает пользователя вирусами.


                  1. daggert
                    12.10.2019 14:06

                    Вы не понимаете смысла дорвея. Он тоже не покажет то что надо пользователю, ато и вовсе даст вирусов скачать. Только вот дорвеи это часть интернета с которой гугл не борется, т.к. они приносят рекламный доход, а вот с обычными сайтами — ататат делает.


                    1. Fedcomp
                      13.10.2019 05:15

                      Суть в том что он покажет то что планировал автор без вмешательств по каналу, вы таких гарантий дать не можете. То что у вас в локалке все работает всего лишь систематическая ошибка выжившего.


                      1. daggert
                        13.10.2019 09:59

                        Эта ошибка выжившего имеет место быть. Даже у нас в городе десятки локальных ресурсов, где нет сертификата, которые имеют ОЧЕНЬ высокую посещаемость и доступны только внутри сети. У них нет и не может быть mitm атаки и шифрование даст им только дополнительную нагрузку и геморрой.


                        1. Fedcomp
                          13.10.2019 10:28

                          У них нет и не может быть mitm атаки
                          Да? прямо напрямую по кабелю друг к другу соединены? или все таки через провайдера идут?

                          Шифрование даст им только дополнительную нагрузку и геморрой.
                          Безусловно. Поэтому там просто будет висеть плашка что сайт небезопасен, только и всего.


                          1. daggert
                            13.10.2019 11:10

                            Это ресурсы провайдера, предназначенные для абонентов этого провайдера. Если плохой человек решит устроить mitm в такой сети — ему надо будет физически менять коммутатор провайдера на свой для изоляции, т.к. левый dhcp-сервер сразу вызовет подозрения, отключение куста до выявления проблемы и вызов бригады. Думаю что в такой ситуации вопрос про сертификат даже не встанет на повестку дня.


                            Безусловно. Поэтому там просто будет висеть плашка что сайт небезопасен, только и всего.

                            А вот фиг там. Будет квест "дополнительно — перейти на сайт (небезопасно)", как сейчас делают для всяких narod.ru.


                            1. Fedcomp
                              13.10.2019 11:25

                              Это ресурсы провайдера, предназначенные для абонентов этого провайдера
                              И этот провайдер (билайн например) подмешает вам рекламу.

                              Если плохой человек решит устроить mitm в такой сети — ему надо будет физически менять коммутатор провайдера на свой для изоляции
                              Если человек — сотрудник провайдера то не придется.

                              ему надо будет физически менять коммутатор провайдера на свой для изоляции
                              Это будет большой проблемой для скажем, обиженного бывшего сотрудника провайдера? Или рандомного приближенного (к знанию о моделях и устройстве конкретной сети) человека?

                              Думаю что в такой ситуации вопрос про сертификат даже не встанет на повестку дня
                              Думаю при такой атаке никто не заметит подмены.

                              А вот фиг там. Будет квест «дополнительно — перейти на сайт (небезопасно)», как сейчас делают для всяких narod.ru.
                              И отлично, пенсионеры это как раз та ЦА которая находится в зоне повышенного риска. При красной плашке — появятся вопросы. Кстати про красную плашку на narod первый раз слышу.


                              1. daggert
                                13.10.2019 19:10

                                И этот провайдер (билайн например) подмешает вам рекламу.

                                Очевидная глупость. Провайдер который меня обслуживает таким никогда не занимался и не будет. Если захочет вставить рекламу на ресурсах — он ее просто возьмет и поставит в коде или попросит сделать рассылкой, однако там рекламы в принципе нет.


                                Если человек — сотрудник провайдера то не придется.

                                А вдруг китаец собирающий вашу конкретно клавиатуру решил встроить кейлоггер?


                                Это будет большой проблемой для скажем, обиженного бывшего сотрудника провайдера?

                                Да. Он сразу попадет на камеры это раз, у него нет ключей от ящиков (ящики на чердаке, так-что еще и ключи от них), это два.


                                Или рандомного приближенного (к знанию о моделях и устройстве конкретной сети) человека?

                                А рандомный или приближенный человек в лест-энкрипт вдруг захочет в автоскрипт генерирования сертификата вставить его отсылку приватного и открытого ключей на сервер АНБ.


                                Думаю при такой атаке никто не заметит подмены.

                                Может быть у вас есть сети где работают раздолбаи, у нас не так и такое нарушение будет сразу выявлено.


                                И отлично, пенсионеры это как раз та ЦА которая находится в зоне повышенного риска.

                                Сайт с mitm опасен как и хороший дорвей с вирусами. Только второй будет зелененький и пушистый всегда, а первый с красной плашкой даже когда на нем не будет опасного контента. Пенсионеры будут приучаться смотреть на "безопасно" и черт вы потом им объясните что этот сайт с зеленой галочкой — опасный.


                                Кстати про красную плашку на narod первый раз слышу.
                                Буквально недавно на parkanfans.narod.ru был фулскрин об опасности при переходе на страницу с загрузками. Насколько я знаю — контент не менялся. Меняется отношение гугла, от звезд на небе. Мой блог так пострадал (я даже знаю что точно не понравилось гуглу), потом тоже плашка пропала.


                                1. DaemonGloom
                                  14.10.2019 07:17

                                  Сайт с mitm опасен как и хороший дорвей с вирусами. Только второй будет зелененький и пушистый всегда, а первый с красной плашкой даже когда на нем не будет опасного контента. Пенсионеры будут приучаться смотреть на «безопасно» и черт вы потом им объясните что этот сайт с зеленой галочкой — опасный.

                                  Нет. Там не будет никакой зелёной галочки. Совсем. Будут обычные ресурсы (без цветного значка) и потенциально небезопасные (красный значок).


                                1. Fedcomp
                                  14.10.2019 09:07

                                  Очевидная глупость. Провайдер который меня обслуживает таким никогда не занимался и не будет. Если захочет вставить рекламу на ресурсах — он ее просто возьмет и поставит в коде или попросит сделать рассылкой, однако там рекламы в принципе нет.
                                  Пока не придет очередной эффективный менеджер или не продадутся условному билайну.

                                  А вдруг китаец собирающий вашу конкретно клавиатуру решил встроить кейлоггер?
                                  То что некоторые провайдеры вмешиваются в траффик это давно известный факт.

                                  А рандомный или приближенный человек в лест-энкрипт вдруг захочет в автоскрипт генерирования сертификата вставить его отсылку приватного и открытого ключей на сервер АНБ.
                                  А у них места то хватит? Startssl тоже вроде бесплатные церты выдавали.

                                  Может быть у вас есть сети где работают раздолбаи, у нас не так и такое нарушение будет сразу выявлено.
                                  Кем? провайдером? который этим и занимается?

                                  был фулскрин об опасности при переходе на страницу с загрузками
                                  Значит кто то пожаловался на сайт как не безопасный.

                                  Мой блог так пострадал
                                  и http даже не помог?


                                  1. daggert
                                    14.10.2019 11:08

                                    Пока не придет очередной эффективный менеджер или не продадутся условному билайну.


                                    Тогда и буду думать. Сейчас предпосылок к этому нет. Хотя думаю что тогда будет совсем другой разговор и условный билайн/мтс/ростелеком вовсе завернет тему с внутренним безлимитным хостингом.


                                    То что некоторые провайдеры вмешиваются в траффик это давно известный факт.

                                    То что китайцы следят за всеми — давно известный факт.


                                    А у них места то хватит? Startssl тоже вроде бесплатные церты выдавали.

                                    Ой не смешите. Ради такого куша найти место — раз плюнуть.


                                    Кем? провайдером? который этим и занимается?

                                    Зачем вы пользуетесь услугами провайдера который таким занимается? Голосуйте рублем, пишите претензии, оповещайте родных о такой наглости! У нас провайдер таким не занимается.


                                    Значит кто то пожаловался на сайт как не безопасный.

                                    Мимо. Просто были прямые ссылки на exe файлы без подписи.


                                    и http даже не помог?

                                    Не помог и https не поможет, но разговор сейчас про другое. Я разместил шрифты не с гугл-фонт, а со своего хостинга (т.к. быстрей в 10 раз) — красная карточка, я jQuery не с cdn беру — все, красная карточка. Не юзаю гугл-счетчики — желтая карточка и никаких плюшек. Монополия, мать ее, именно она позволяет творить такую чушь с любым сайтом.


                                    1. Fedcomp
                                      14.10.2019 11:23

                                      Голосуйте рублем
                                      Это вы провайдерам монополистам в скором будующем будете говорить.

                                      оповещайте родных о такой наглости!
                                      Сами же про пенсионеров говорите и прекрасно понимаете что им плевать.


                1. pav5000
                  13.10.2019 20:31

                  Просто дорвеи не научились детектить, а отсутствие https научились. Поэтому и помечают ваш сайт.


        1. interprise
          11.10.2019 15:08

          Заходим на ваш сайт, кто угодно по пути заменяет ваш трафик (wifi, провайдер) далее встраиваем в страницу js код и получаем куки со всех сайтов которые не поддерживают https.


        1. up7
          13.10.2019 08:21

          убийство простых шаредов и перевод на вдс


          На многих шаредах есть возможность в один клик подключить бесплатный сертификат от Let's Encrypt


      1. vitaliy2
        13.10.2019 23:16

        На 90% ресурсов без HTTPS, которыми я пользуюсь или захожу, он очень сильно нужен. И только на 10% он нужен менее сильно (при этом хоть и менее сильно, но в итоге нужен везде, т.?к. иначе некоторые операторы (wi-fi, провайдеры, последники и т.?д.) вмешиваются в трафик или слушают его).


  1. A114n
    11.10.2019 13:04

    Поэтому в 2020 году никакой смешанный контент нигде не будет загружаться.

    Добро пожаловать, добро пожаловать в цифровой гулаг.
    Сами вы его выбрали, или его выбрали за вас.


    1. megafonishe
      11.10.2019 14:24
      +2

      А вы точно в России живете? Яровая, СОРМ, чебурнет...?
      Жить в России в 2019 году и называть наличие шифрования гулагом — это диагноз, уж извините.


      1. A114n
        11.10.2019 14:43

        Я не про Россию, а про мир.
        До этого была надежда, теперь её нет.
        При чём тут шифрование, когда ситуация однозначна: браузер решает за тебя, что ты можешь смотреть, а что нет, под предлогом «безопасности».
        Сравните:
        — товарищ майор решает за тебя, что ты можешь смотреть, а что нет, под предлогом «безопасности»
        — партия решает за тебя, что ты можешь смотреть, а что нет, под предлогом «безопасности»
        — отдел контроля мыслепреступлений решает за тебя, что ты можешь смотреть, а что нет, под предлогом «безопасности»


        1. megafonishe
          11.10.2019 14:57
          +1

          В отличии от перечисленных, браузер
          1. Защищает от объективной технической угрозы, а не придуманной кем-то «нравственной». Траффик идет в открытую и с ним по пути могло произойти что угодно, это факт, как ни крути.
          2. Не имеет от этого явной выгоды. Поправьте, если ошибаюсь, но в чем прибыль Гугла от блокирования http, от понижения их в выдаче (в случае выдачи актуально и для Яндекса)? Гугл не является монопольным УЦ, и в данном случае не акцентируется на каких-то конкретных сервисах, чтоб переманить пользователей на свои.
          3. Легко обходится, по крайней мере для фаерфокса готов держать пари, что это будет спокойно настраиваться через about:config.
          4. За посещение по Http вам даже теоретически ничего не будет.


          1. A114n
            12.10.2019 10:09

            Интересно, что вы в своей отчаянной защите гулага и товарища майора не можете удержаться от лжи. Потому что гэбня и её сторонники всегда только на лжи и держатся, без обмана людей никакой тоталитаризм невозможен, хоть обычный, хоть цифровой.

            Вот вы прямо в первом комментарии подменили тему разговора, пытаясь изобразить дело так, что я против шифрования («называть наличие шифрования гулагом — это диагноз»). В то время как проблема не в шифровании, а в том, что у людей хотят забрать право выбирать, смотреть им страницы с шифрованием или без. Причём, что ещё хуже, забрать не прямо, а через усложнение доступа («никто вам ничего не запрещал, просто поставьте старую ОС, установите на неё старый браузер и с двух до пяти каждый нечётный четверг месяца приходите за справкой»). Разговоры про то, что «это будет спокойно настраиваться» сродни разговорам про то, что сапог товарища майора в заднице раз в неделю по субботам это не так уж и страшно, особенно если с вазелином.

            Или вот вы там пишете в другом комментарии «Гугл хром — далеко не единственный браузер. Претензии у гуглу — голосуйте ногами!»; но при этом прямо в статье указано, что другие браузеры собираются присоединиться к этому процессу забирания прав у пользователей.

            Про прибыль уже написали ниже, но вы ухитрились соврать даже в таком очевидном вопросе.

            Точно также вы врёте пытаясь рассказать, что есть «объективная техническая угроза» — конечно, всюду террористы, педофилы и западные наймиты, поэтому мы должны поставить везде рамки на вход в метро. Но эти вещи не связаны. Отдельно есть угроза — например террористическая или техническая. И отдельно есть рамки в метро или запрет на открытие сайтов без шифрования. Эта схема работает безотказно годами, потому что люди очень тупые. Им говоришь «детишечки-кровинушки страдают, поэтому давайте введём запрет интернета» — и они такие «да, да, действительно, там же есть слово поэтому, значит страдания детишечек и интернет действительно связаны, ведь иначе бы слова не было».

            Но запрет для людей посещать http-сайты никак не одолеет техническую угрозу — про дорвеи уже выше написали, люди по-прежнему будут подвергаться вполне открытым и сертифицированным атакам мошенников. Эта схема просто заберёт у людей часть прав. Это как с контролем оружия — у преступников оружие всё равно всегда будет, так как преступника не беспокоят официальные разрешения или он их получит преступным путём. А все преграды придуманы для того, чтобы усложнять жизнь законопослушному гражданину. Ну и чтобы забрать права, разумеется.


            1. Senyaak
              13.10.2019 04:30

              Интересно, что вы в своей отчаянной защите гулага и товарища майора не можете удержаться от лжи

              у людей хотят забрать право выбирать, смотреть им страницы с шифрованием или без.

              Что за бред? У кого хотят забрать право смотреть сайты без шифрования? Лжец и невежда — больше никак не назвать тебя


              1. VolCh
                13.10.2019 07:19

                У всех, кто не готов углубляться в техническое решение проблемы блокировках контента современными популярными браузерами. Владельцы сайта готовы показать контент без шифрования, пользователи готовы его смотреть в таком виде, но создатели браузеров вмешивается в их свободный выбор.


                Уже речь не идёт о предупреждение "небезопасно", уже речь о блокировке.


                1. Senyaak
                  13.10.2019 07:32

                  но создатели браузеров вмешивается в их свободный выбор.

                  Какой свободный выбор? Очередной бред… Это сделано для тех кто ни черта не смыслит в безопасности. Не загруженный контент будет доступен и никуда не денется. Его можно будет посмотреть настроив браузер, либо банально вставив ссылку в адресную строку.

                  Уже речь не идёт о предупреждение «небезопасно», уже речь о блокировке.

                  Речь идёт о безопасности пользователей. Которая существует уже давно — крос ориджин к примеру


                  1. VolCh
                    13.10.2019 10:58

                    Субъективно, люди не смыслят в том, что им не интересно и(или) не нужно.


                    1. Senyaak
                      13.10.2019 17:59

                      Зачем тогда писать о том — что им не интересно или не нужно? Маразм :D


                      1. VolCh
                        13.10.2019 22:18

                        Так я и говорю, что не понимаю зачем Гугл собирается блокировать "небезопасные" сайты для людей, которых безопасность не интересует. Маразм же?


                        1. Senyaak
                          13.10.2019 22:59

                          «небезопасные» сайты для людей, которых безопасность не интересует.
                          Во первых гугл не собирается блокировать сайты — во вторых нет таких людей.


  1. barbos6
    11.10.2019 15:13

    2. Не имеет от этого явной выгоды. Поправьте, если ошибаюсь, но в чем прибыль Гугла от блокирования http


    Попроавляю — Web Hosting for Small Business | Solutions | Google Cloud живет с продажи ресурсов.
    Больше шифрования, суеты и прочего напрасного труда — больше profit.
    И в этом 'благом' начинании их поддержат все без исключения хостеры и производители железа, а так же и большинство програмеров.
    В том числе и за ваши деньги. :)


    1. Senyaak
      13.10.2019 07:48

      Что за бред? Если нужен сторонний не зашифрованный контент через зашифрованное соединение — настраивается прокси на сервере и всё работает. Гугл выйграет от того что разработчикам придётся настраивать проект на пол часа больше?


  1. ilyapirogov
    11.10.2019 19:45
    +3

    Если бы интернет был автомобильными дорогами:


    Новость: В связи с участившимися авариями, на перекрестке между Google St. и Chrome Ave. будет установлен знак СТОП.
    Комментарии: Все пропало! Надежды нет! У нас отобрали последнюю свободу пролетать этот перекресток со скоростью 100 км/ч! Добро пожаловать в дорожный гулаг.


    1. VolCh
      13.10.2019 07:22

      Не знак будет установлен, а перекрёсток будет закрыт. И не в связи с авариями, а в связи с возможностями аварий.


      1. ilyapirogov
        14.10.2019 20:05

        Даже в такой интерпретации эта аналогия не теряет смысла.


  1. johnfound
    11.10.2019 21:45

    Читая комментарии, мне кажется, что есть некоторое непонимание. А суть в том, что блокировать будут "смешанный контент". Это когда в сайт https есть ресурсы с внешнего сайта через http. И то наверное просто ресурс (например изображение) не будут качать, а страница что на https будет показана.


    Сайты на чистом http как работали, так и будут работать.


    1. daggert
      11.10.2019 22:23
      +1

      Понимание есть к чему все ведут. То что есть это весьма и весьма понятно — смешанный контент надо блокировать, особенно там где есть ввод любых данных.


  1. sergey-b
    13.10.2019 01:30
    +1

    Меня интересует следующий нюанс. Каким браузером я смогу зайти в админку домашнего роутера?