Dans les mois à venir, chaque nouvelle version de Chrome va augmenter les cas de blocages des mixed content, ces ressources HTTP chargées sur des pages HTTPS.
Par exemple dès février 2020, Chrome bloquera les images chargées en HTTP sur des pages HTTPS. C'est facile de vérifier sur une page si vous avez ce type de problème, mais pour le faire à l'échelle de tout votre site, je vous conseille de passer par un crawler. Pour ce qui concerne les images, mon crawler RM Tech signale ce type de problème (en même temps que plein d'autres erreurs sur les images, par exemple les images sans ALT, celles qui sont trop grandes ou trop lourdes et bien entendu celles qui sont en 404).
Détail dans cet article du blog sécurité de Google. Voici quelques infos extraites :
Dans une série d'étapes commençant dans Chrome 79, Chrome passera progressivement au blocage de tous les contenus mixtes par défaut. Pour minimiser les ruptures, nous mettrons à jour automatiquement les ressources mixtes sur https://, de sorte que les sites continueront à fonctionner si leurs sous-ressources sont déjà disponibles sur https://.
Dans Chrome 79, qui sortira sur le canal stable en décembre 2019, nous introduirons un nouveau paramètre pour débloquer le contenu mixte sur des sites spécifiques. Ce paramètre s'applique aux scripts mixtes, aux iframes et aux autres types de contenu que Chrome bloque actuellement par défaut. Les utilisateurs peuvent basculer ce paramètre en cliquant sur l'icône de verrouillage sur n'importe quelle page https:// et en cliquant sur Paramètres du site. Ceci remplacera l'icône de bouclier qui apparaît sur le côté droit de l'omnibox pour débloquer le contenu mixte dans les versions précédentes de Chrome de bureau.
Dans Chrome 80, les ressources audio et vidéo mixtes seront automatiquement mises à niveau vers https://, et Chrome les bloquera par défaut si elles ne sont pas chargées via https://. Chrome 80 sera disponible sur les canaux de diffusion anticipée en janvier 2020. Les utilisateurs peuvent débloquer les ressources audio et vidéo affectées avec le réglage décrit ci-dessus.
Toujours dans Chrome 80, les images mixtes seront toujours autorisées à se charger, mais Chrome affichera une puce "Not Secure" dans l'omnibox. Nous pensons qu'il s'agit d'une interface de sécurité plus claire pour les utilisateurs et qu'elle incitera les sites Web à migrer leurs images vers HTTPS. Les développeurs peuvent utiliser les demandes de mise à niveau non sécurisées ou les directives de politique de sécurité du contenu qui bloquent tous les contenus mixtes pour éviter cet avertissement.
Dans Chrome 81, les images mixtes seront automatiquement mises à niveau vers https://, et Chrome les bloquera par défaut si elles ne sont pas chargées sur https://. Chrome 81 sera disponible sur les canaux de diffusion anticipée en février 2020.
Voir aussi :
Par exemple dès février 2020, Chrome bloquera les images chargées en HTTP sur des pages HTTPS. C'est facile de vérifier sur une page si vous avez ce type de problème, mais pour le faire à l'échelle de tout votre site, je vous conseille de passer par un crawler. Pour ce qui concerne les images, mon crawler RM Tech signale ce type de problème (en même temps que plein d'autres erreurs sur les images, par exemple les images sans ALT, celles qui sont trop grandes ou trop lourdes et bien entendu celles qui sont en 404).
Détail dans cet article du blog sécurité de Google. Voici quelques infos extraites :
Dans une série d'étapes commençant dans Chrome 79, Chrome passera progressivement au blocage de tous les contenus mixtes par défaut. Pour minimiser les ruptures, nous mettrons à jour automatiquement les ressources mixtes sur https://, de sorte que les sites continueront à fonctionner si leurs sous-ressources sont déjà disponibles sur https://.
Dans Chrome 79, qui sortira sur le canal stable en décembre 2019, nous introduirons un nouveau paramètre pour débloquer le contenu mixte sur des sites spécifiques. Ce paramètre s'applique aux scripts mixtes, aux iframes et aux autres types de contenu que Chrome bloque actuellement par défaut. Les utilisateurs peuvent basculer ce paramètre en cliquant sur l'icône de verrouillage sur n'importe quelle page https:// et en cliquant sur Paramètres du site. Ceci remplacera l'icône de bouclier qui apparaît sur le côté droit de l'omnibox pour débloquer le contenu mixte dans les versions précédentes de Chrome de bureau.
Dans Chrome 80, les ressources audio et vidéo mixtes seront automatiquement mises à niveau vers https://, et Chrome les bloquera par défaut si elles ne sont pas chargées via https://. Chrome 80 sera disponible sur les canaux de diffusion anticipée en janvier 2020. Les utilisateurs peuvent débloquer les ressources audio et vidéo affectées avec le réglage décrit ci-dessus.
Toujours dans Chrome 80, les images mixtes seront toujours autorisées à se charger, mais Chrome affichera une puce "Not Secure" dans l'omnibox. Nous pensons qu'il s'agit d'une interface de sécurité plus claire pour les utilisateurs et qu'elle incitera les sites Web à migrer leurs images vers HTTPS. Les développeurs peuvent utiliser les demandes de mise à niveau non sécurisées ou les directives de politique de sécurité du contenu qui bloquent tous les contenus mixtes pour éviter cet avertissement.
Dans Chrome 81, les images mixtes seront automatiquement mises à niveau vers https://, et Chrome les bloquera par défaut si elles ne sont pas chargées sur https://. Chrome 81 sera disponible sur les canaux de diffusion anticipée en février 2020.
Voir aussi :