¿Qué es el contenido mixto?
Google Chrome ya bloquea algunos tipos de “contenido mixto” en la web. Ahora, Google ha anunciado que se está volviendo aún más serio: a partir de principios de 2020, Chrome bloqueará todo el contenido mixto de forma predeterminada, rompiendo algunas de las páginas web existentes. Esto es lo que significa.
Hay dos tipos de contenido: Contenido entregado a través de una conexión HTTPS cifrada y segura, y contenido entregado a través de una conexión HTTP no cifrada. Cuando utiliza HTTPS, el contenido no puede ser espiado o manipulado durante la conexión, razón por la cual los sitios web críticos ofrece una navegación encriptada cuando se trata de información financiera o datos privados.
La web se está moviendo para proteger los sitios web HTTPS. Si te conectas a un sitio web HTTP antiguo sin cifrar, Google Chrome te advierte de que estos sitios web “no son seguros”. Google ahora incluso oculta por defecto el indicador “https://”, ya que los sitios deberían ser seguros por defecto. Y el nuevo estándar HTTP/3 tendrá encriptación incorporada.
Pero algunas páginas web no pueden ser ni totalmente HTTPS ni completamente HTTP. Algunas páginas web se entregan a través de una conexión HTTPS segura, pero incorporan imágenes, scripts u otros recursos a través de una conexión HTTP no cifrada. Estas páginas web tienen “contenido mixto” porque no son totalmente seguras. La página web en sí no puede ser manipulada, pero puede contener un script, imagen o iframe (una página web dentro de un “frame” en otra página web) que podría haber sido manipulada.
Por qué es malo el contenido mixto
El contenido mizclo es confuso. De alguna manera estás viendo una página web que es segura y que no lo es. Por ejemplo, una página web normalmente segura podría incluir un archivo JavaScript a través de HTTP. Ese script podría modificarse -por ejemplo, si estás en una red Wi-Fi pública que no es segura- para hacer muchas cosas desagradables en la página web, desde monitorear tus pulsaciones de teclas hasta insertar una cookie de rastreo.
Aunque los scripts y los iframes – “contenido activo”- son los más peligrosos, incluso las imágenes, los vídeos y el contenido mixto de audio pueden ser peligrosos. Por ejemplo, imagínate que estás viendo un sitio web seguro de comercio de acciones que muestra una imagen del historial de una acción a través de HTTP. Esa imagen no es segura, podría haber sido manipulada durante la conexión para mostrar detalles incorrectos. Además, debido a que se entregó a través de una conexión no cifrada, es probable que cualquiera que husmee en los datos en tránsito sepa qué información estás buscando.
Es una mala idea mezclar contenido de esta manera. Si una página web está utilizando HTTPS, todos sus recursos deben ser introducidos también a través de HTTPS. Es sólo un accidente histórico: la Web comenzó con HTTP y los sitios web se han ido actualizando gradualmente a HTTPS. Al hacerlo, no siempre se actualizaban para utilizar los recursos HTTPS en todas partes. O bien, pueden haber dependido de un recurso de terceros que no era compatible con HTTPS en ese momento.
Ahora que Google y otros proveedores de navegadores hacen que el contenido mixto sea más difícil, los sitios web tendrán que limpiar las cosas para que sus páginas web sigan funcionando de forma predeterminada.
¿Qué está cambiando exactamente en Chrome?
Chrome actualmente bloquea scripts y iframes mixtos. En Chrome 80, que se lanzará a los canales de distribución en enero de 2020, Chrome bloqueará los recursos mixtos de audio y vídeo; técnicamente, intentará cargarlos a través de una conexión HTTPS segura y bloquearlos si no lo hacen. Las imágenes mezcladas se cargarán, pero Chrome dirá que la página web es “No Segura”. En Chrome 81, Chrome también dejará de cargar imágenes mezcladas. Los usuarios pueden permitir que el contenido mezclado se cargue, pero no de forma predeterminada.
Todo esto es parte de hacer la web más segura. La entrada del blog de Google dice que espera que el mensaje “No seguro” “motive a los sitios web a migrar sus imágenes a HTTPS”.
Cómo Chrome te permitirá desbloquear contenido mixto
Chrome ya bloquea algunos tipos de contenido mezclado con un icono de protección en la barra de direcciones y un mensaje de “Contenido inseguro bloqueado”. Puedes ver cómo funciona en esta página de ejemplo de contenido mixto creada por Google. Por ejemplo, para desbloquear un script de contenido mixto, debes hacer clic en un enlace llamado “Load unsafe scripts”.
Si aceptas ejecutar el contenido mixto, la página web cambia de Segura a No Segura.
Google lo simplificará en Chrome 79, que se publicará en diciembre de 2019. Tendrás que hacer clic en el icono del candado a la izquierda de la dirección de la página, hacer clic en “Configuración del sitio” y, a continuación, desbloquear el contenido mixto de ese sitio.
La opción se vuelve más difícil, pero ese esa es la idea: La mayoría de la gente nunca debería necesitar habilitar contenido mixto para un sitio. Los desarrolladores de sitios web necesitan arreglar sus sitios web para entregar recursos de forma segura. Esta opción garantizará que cualquier persona que utilice un sitio empresarial más antiguo pueda seguir accediendo a él, incluso cuando el contenido mixto esté desactivado para todos.
Si necesitas un sitio que lo requiera, no te preocupes: Google no ha anunciado una fecha en la que elimine la opción de cargar contenido mixto en Chrome. El navegador web de Google bloqueará todo el contenido mixto de forma predeterminada, pero seguirá ofreciendo una opción para permitir el contenido mixto en un futuro previsible.
¿Qué pasa con otros navegadores?
Chrome no está solo. Firefox también bloquea contenido mixto como scripts y iframes, y requiere que hagas clic en la opción “Desactivar protección por ahora” para volver a activarla. Esperamos que Mozilla siga los pasos de Google. El navegador Safari de Apple también es agresivo a la hora de bloquear contenidos mixtos.
Y, por supuesto, la nueva versión navegador Edge de Microsoft se basará en el código Chromium que constituye la base de Google Chrome y se comportará como Chrome.
