Google lên kế hoạch chặn “nội dung hỗn hợp” với HTTPS trên trình duyệt Chrome

Google chặn "Mixed Content"

Gần đây, Google đã thực hiện nhiều thay đổi về quyền riêng tư và bảo mật trong Google Chrome, đáng kể nhất là những thay đổi tập trung vào HTTPS cho các trang web. Động thái mới nhất có thể kể đến là dự định của Google nhằm chặn các “Mixed Content” (nội dung hỗn hợp) trong trình duyệt Chrome của mình.

Google lên kế hoạch chặn “Mixed Content”

Được biết, Google đang lên kế hoạch để chặn “Mixed Content” (nội dung hỗn hợp) cho HTTPS trong tương lai.

Theo một bài đăng trên blog mới đây của Nhóm bảo mật Chrome thì Google sẽ chặn hoàn toàn “Mixed Content” trong Chrome. Điều này chỉ nhằm mục đích đảm bảo việc thực thi đầy đủ HTTPS.

“Mixed Content” là gì?

Mixed Content” được dùng để chỉ một loại nội dung trên website sử dụng HTTPS trong đó các yếu tố nhất định trên trang web được tải qua HTTP.

“Mixed Content” xảy ra khi HTML ban đầu được tải qua kết nối HTTPS an toàn, nhưng các nội dung khác (như hình ảnh, video, bảng định kiểu, tập lệnh) được tải qua kết nối HTTP không an toàn. 

“Mixed Content” ảnh hưởng đến bảo mật trình duyệt như thế nào?

Mặc dù, Chrome thường thông báo cho người dùng về sự hiện diện của những nội dung dạng này, nhưng vẫn không thể bảo vệ người dùng tránh khỏi những nguy cơ tiềm ẩn đến từ các nội dung HTTP trên trang web. Do đó, sự tồn tại của những “nội dung hỗn hợp” khiến cho mức độ bảo mật của các trang web bị giảm đi đáng kể.

Yêu cầu (request) các nguồn phụ (subresource) sử dụng giao thức HTTP không an toàn làm suy yếu tính bảo mật của toàn bộ trang. Nguyên nhân là vì các yêu cầu này có thể dễ dàng dẫn tới các cuộc tấn công man-in-the-middle, nơi các hacker nghe lén trên các kết nối mạng và xem hoặc sửa đổi quá trình kết nối giữa hai bên.

Cuối cùng, sự hiện diện của các nội dung xáo trộn thậm chí có thể cho phép các hacker kiểm soát hoàn toàn trang bị ảnh hưởng. Google giải thích rằng những nội dung như vậy cũng ảnh hưởng đến bảo mật của trình duyệt UX. Trình duyệt sẽ không thể hiển thị nó dưới dạng HTTPS hay HTTP.

Quá trình thực thi diễn ra từ từ

Mặc dù Google đã công bố kế hoạch để đảm bảo không còn sự tồn tại của những nội dung hỗn hợp, nhưng công ty sẽ thực hiện theo lộ trình gồm nhiều bước. Do đó, các trang web HTTPS có chứa “Mixed Content” vẫn có đủ thời gian để thực hiện hoạt động sửa đổi.

Theo lộ trình mới được tiết lộ, ban đầu Google sẽ đưa ra các cài đặt cho người dùng để bỏ chặn nội dung hỗn hợp trên các trang web, chính thức được áp dụng cho phiên bản Chrome 79 sẽ phát hành vào tháng 12 năm 2019.

Sau đó, với Chrome 80, Google sẽ chặn các nguồn âm thanh/video không tải được qua HTTPS theo mặc định. Người dùng vẫn có thể bỏ chặn nội dung thông qua các cài đặt sẵn có. Tuy nhiên, khi hiển thị các hình ảnh hỗn hợp (mixed image), trình duyệt sẽ gửi lời nhắc “Not Secure” (Không an toàn) tới người dùng.

Cuối cùng, với Chrome 81 dự kiến ra mắt vào tháng 2 năm 2020, Google sẽ chặn tất cả những hình ảnh hỗn hợp. Để thuận tiện, Google đã chia sẻ các hướng dẫn chi tiết để di chuyển sang các trang HTTPS an toàn, đồng thời chặn hiển thị đối với các nội dung không đạt tiêu chuẩn.  

LHN