O navegador Google Chrome já implementa o bloqueio de certos elementos de “conteúdo misto” encontrados na web. Recentemente, o Google anunciou que intensificará essa medida: a partir do início de 2020, o Chrome passará a bloquear, por padrão, todo o conteúdo misturado, o que poderá gerar problemas em algumas páginas web existentes. Vejamos o que isso implica.
O que é conteúdo misto?
Aqui, distinguimos dois tipos de conteúdo: aquele que é entregue através de uma conexão HTTPS, que é criptografada e segura, e o conteúdo que é entregue por meio de uma conexão HTTP, que não é criptografada. O protocolo HTTPS garante que o conteúdo não possa ser interceptado ou alterado durante a transferência, razão pela qual sites que lidam com informações financeiras ou dados pessoais utilizam a criptografia como medida de segurança.
A internet está migrando para um cenário onde sites seguros através de HTTPS são a norma. O Google Chrome agora exibe um aviso de que um site que usa HTTP “não é seguro”, caso você acesse um site mais antigo que não usa criptografia. O Google, inclusive, oculta o indicador “https://” por padrão, pois espera que a segurança seja um padrão. Além disso, o novo protocolo HTTP/3 já terá criptografia incorporada.
Entretanto, algumas páginas web não operam exclusivamente com HTTPS nem HTTP. Algumas páginas web são servidas por meio de uma conexão HTTPS segura, mas buscam imagens, scripts, ou outros recursos através de uma conexão HTTP sem criptografia. É nessas páginas que encontramos o “conteúdo misto”, pois não são totalmente seguras. A própria página web não pode ser alterada, mas é possível que um script, imagem ou iframe (uma página web dentro de um “quadro” em outra página web) que ela acesse tenha sido adulterado.
Por que o conteúdo misto é problemático?
O conteúdo misto gera confusão. De certa forma, você está navegando em uma página web que é, ao mesmo tempo, segura e insegura. Por exemplo, uma página web geralmente segura e protegida pode obter um arquivo JavaScript via HTTP. Esse script pode ser alterado – por exemplo, se você estiver em uma rede Wi-Fi pública não confiável – para realizar ações maliciosas na página web, desde o monitoramento das suas teclas digitadas até a inserção de um cookie de rastreamento.
Embora scripts e iframes – o “conteúdo ativo” – sejam os mais perigosos, mesmo imagens, vídeos e áudio com conteúdo misto podem representar riscos. Imagine, por exemplo, que você está acessando um site seguro de negociação de ações que obtém uma imagem do histórico de uma ação através de HTTP. Essa imagem não é segura – ela pode ter sido adulterada em trânsito para mostrar informações erradas. Além disso, como foi entregue por meio de uma conexão não criptografada, qualquer pessoa que espionar os dados em trânsito provavelmente saberá qual ação você está pesquisando.
A prática de misturar conteúdo dessa maneira não é recomendada. Se uma página web utiliza HTTPS, todos os seus recursos também devem ser obtidos por meio de HTTPS. Essa situação é resultado de um processo histórico – a web começou com HTTP e os sites foram sendo atualizados para HTTPS gradativamente. No entanto, nesse processo, os sites nem sempre atualizaram todos os seus recursos para HTTPS. Ou podem ter dependido de um recurso de terceiros que não tinha suporte para HTTPS naquele momento.
Agora, com o Google e outros fornecedores de navegadores tornando o conteúdo misto mais difícil e desestimulante, os sites precisarão fazer as devidas correções para que suas páginas continuem funcionando normalmente.
O que muda no Chrome?
O Chrome já bloqueia scripts e iframes misturados. A partir do Chrome 80, que será lançado nos canais de teste antecipados em janeiro de 2020, o Chrome bloqueará recursos misturados de áudio e vídeo – tecnicamente, tentará carregá-los através de uma conexão HTTPS segura e os bloqueará caso não consiga. Imagens misturadas serão carregadas, mas o Chrome indicará que a página web é “Não Segura”. Já no Chrome 81, o navegador irá parar de carregar imagens misturadas também. Os usuários terão a opção de permitir o carregamento de conteúdo misto, mas isso não será feito por padrão.
Tudo isso faz parte de um processo para tornar a web mais segura. O post no blog do Google afirma que espera que a mensagem “Não Seguro” “motive os sites a migrar suas imagens para HTTPS”.
Como o Chrome permitirá que você desbloqueie o conteúdo misto
O Chrome já bloqueia alguns tipos de conteúdo misturado, mostrando um ícone de escudo na barra de endereço e a mensagem “Conteúdo inseguro bloqueado”. É possível verificar como isso funciona nesta página de exemplo de conteúdo misto criada pelo Google. Por exemplo, para desbloquear um script de conteúdo misto, é preciso clicar em um link denominado “Carregar scripts não seguros”.
Ao concordar em executar o conteúdo misto, a página web passa de Segura para Não Segura.
O Google simplificará esse processo no Chrome 79, com lançamento previsto para dezembro de 2019. Será necessário clicar no ícone de cadeado à esquerda do endereço da página, selecionar “Configurações do site” e, então, desbloquear o conteúdo misturado para aquele site específico.
A opção fica mais escondida, e esse é o objetivo: a maioria das pessoas não deve precisar habilitar o conteúdo misto para um site. Os desenvolvedores dos sites precisam fazer as devidas correções em seus sites para fornecer recursos com segurança. Essa opção garante que usuários de sites mais antigos e corporativos possam continuar acessando-os, mesmo que o conteúdo misturado esteja desabilitado para todos.
Se você precisa acessar um site que exige essa configuração, não se preocupe: o Google não anunciou uma data em que removerá a opção de carregar conteúdo misto no Chrome. O navegador do Google bloqueará todo o conteúdo misturado por padrão, mas continuará oferecendo uma opção para habilitá-lo em um futuro próximo.
E quanto aos outros navegadores?
O Chrome não está sozinho nessa iniciativa. O Firefox também bloqueia conteúdo misto, como scripts e iframes, exigindo que o usuário clique na opção “Desativar a proteção por enquanto” para reativá-lo. É esperado que a Mozilla siga os passos do Google nessa questão. O Safari da Apple também tem uma postura agressiva em relação ao bloqueio de conteúdo misto.
Além disso, o novo navegador Edge da Microsoft, baseado no código Chromium (que também é a base do Google Chrome), terá um comportamento similar ao do Chrome nesse aspecto.