گوگل سخت‌گیری در قوانین پروتکل HTTPS را افزایش می‌دهد

گوگل کروم از سال آینده سخت‌گیری بیشتری روی وب‌سایت‌هایی اعمال می‌کند که به پروتکل HTTPS مهاجرت نکرده‌اند و هنوز برخی از منابع صفحات خود مانند تصویر، ویدئو، صدا یا اسکریپت‌ها را از طریق HTTP بارگذاری می‌کنند. چنین رویکردی به‌نام «محتوای ترکیبی» یا «mixed Content» شناخته می‌شود و از روزهای اول مهاجرت وب‌سایت‌ها به HTTPS وجود داشت.

مرورگرها در سال‌های گذشته چالش محتوای ترکیبی را تا زمانی‌که دامنه‌ی اصلی تحت HTTPS باشد، نادیده گرفته‌اند. در سال‌های زیادی از تاریخچه‌ی اینترنت، HTTPS به‌عنوان فناوری دور از بدنه‌ی صنعت شناخته می‌شد و تنها وب‌سایت‌های محدودی آن را اجرا می‌کردند. درواقع این پروتکل اکثرا به‌عنوان یک پیش‌نیاز فنی الزامی شناخته نمی‌شود. به‌هرحال در سال‌های اخیر گوگل و موزیلا همه‌ی تلاش خود را به کار گرفتند تا وب‌سایت‌ها را تشویق به مهاجرت به HTTPS کنند.

گوگل برای ایفای نقش کاربردی در گسترش HTTPS، به‌صورت پیوسته تغییراتی را در کروم ایجاد می‌کند. به‌هرحال کروم محبوب‌ترین مرورگر جهان محسوب می‌شود و اعمال قوانین و پیاده‌سازی رویکردها برای استفاده از HTTPS در آن اهمیت بالایی دارد. به‌علاوه آن‌ها قبلا در حوزه‌های متعدد از موقعیت خود به‌عنوان فرمانروای بازار استفاده کرده‌اند تا رویکردهایی را در میان توسعه‌دهنده‌های وب‌سایت و کاربران نهایی نهادینه کنند.

کروم در اقدام‌های متعدد تلاش کرد تا امنیت پایین عدم استفاده از HTTPS را به کاربران گوشزد کند. در اقدام اولیه، نشانه‌های Not Secure در فرم‌ها و بخش‌های ورود وب‌سایت‌هایی نمایش داده می‌شد که از طریق پروتکل HTTP بارگذاری می‌شدند. به‌علاوه اگر دامنه‌ی وب‌سایتی تحت HTTPS بارگذاری می‌شد اما محتوای ترکیبی در آن وجود داشت،‌ علامت سبز امنیت در کنار آدرس نمایش داده نمی‌شد. درنهایت دانلود از طریق HTTP از وب‌سایت‌هایی با آدرس HTTPS هم متوقف شد.

گوگل علاوه‌بر تغییرهای فنی، رویکرد خود را هم در قبال وب‌سایت‌های HTTP و HTTPS تغییر داد. اکنون به‌جای نمایش علامت Secure در وب‌سایت‌های مجهز به HTTPS، علامت Not Secure در وب‌سایت‌های مبتنی بر HTTP نمایش داده می‌شود تا به‌نوعی یک جریمه برای آن وب‌سایت لحاظ شده باشد.

تمامی رویکردهای بالا تأثیر مثبتی بر تغییر مسیر به HTTPS داشته‌اند. تعداد وب‌سایت‌ها و سرویس‌های آنلاینی که از این پروتکل استفاده می‌کنند، روزبه‌روز بیشتر می‌شود. مهندسان گوگل در یک پست وبلاگی به این نکته اشاره کردند که کاربران کروم امروز ۹۰ درصد از زمان مرور وب را از طریق پروتکل HTTPS می‌گذرانند.

برای به حداقل رساندن مشکلات عدم بارگذاری وب‌سایت‌ها، منابع ترکیبی را به‌صورت خودکار به //:https به‌روزرسانی می‌کنیم. درنتیجه اگر وب‌سایتی منابع زیرمجموعه‌ای خود را از طریق //:https ارائه کند، مشکلی برای ادامه‌ی کار نخواهد داشت.

علاوه بر قابلیت بالا، راهکاری دیگر هم برای کاهش اثرات منفی قوانین جدید روی تجربه‌ی کاربران پیاده‌سازی می‌شود. گوگل تنظیماتی را در مرورگر خود اضافه می‌کند که امکان خروج از برنامه‌ی مسدودسازی محتوای ترکیبی را در وب‌سایت‌های مورد نظر کاربران به آن‌ها می‌دهد. شرکت در ادامه برنامه‌ی توسعه‌ی کروم را در ارتباط با HTTPS این‌گونه شرح داد:

• «در کروم ۷۹ که نسخه‌ی پایدار آن دسامبر ۲۰۱۹ منتشر می‌شود، تنظیماتی جدید برای باز کردن محتوای ترکیبی در برخی وب‌سایت‌ها وجود خواهد داشت. این تنظیمات روی محتوایی همچون اسکریپت‌های ترکیبی، کدهای iframe و دیگر انواع محتوا اعمال می‌شود که کروم به‌صورت پیش‌فرض آن‌ها را مسدود می‌کند. کاربران برای استفاده از تنظیمات مذکور می‌توانند روی آیکن قفل در هر صفحه‌ی //:https کلیک کنند و با واردشدن به بخش Site Settings، تنظیمات را تغییر دهند. این بخش جایگزین آیکن سپر می‌شود که برای بازکردن محتوای ترکیبی در نسخه‌های قبلی کروم دسکتاپ در سمت راست جعبه‌ی اطلاعات وب‌سایت نمایش داده می‌شد.
• در کروم ۸۰، منابع ترکیبی صوتی و تصویری به‌صورت خودکار به //:https به‌روزرسانی می‌شوند. البته اگر محتوا قابلیت بارگذاری از طریق HTTPS را نداشته باشد، کروم آن را مسدود می‌کند. کروم ۸۰ ژانویه‌ی ۲۰۲۰ برای کانال‌های توزیع ابتدایی عرضه می‌شود. کاربران باز هم با مراجعه به تنظیمات بالا می‌توانند محتوای صوتی و تصویری مسدودشده را بارگذاری کنند.
• به‌علاوه در کروم ۸۰ محتوای ترکیبی از جنس تصویر امکان بارگذاری خواهد داشت. البته به‌خاطر وجود چنین منابعی در یک وب‌سایت، علامت و عبارت Not Secure در کنار آدرس آن ذکر می‌شود. ما اعتقاد داریم این رویکرد، رابط کاربری امنیتی دقیق‌تری را برای کاربران ایجاد و وب‌سایت‌ها را به جابه‌جایی تصاویر به HTTPS تشویق می‌کند. توسعه‌دهنده‌ها می‌توانند با مراجعه به راهکارهای upgrade-insecure-requests و block-all-mixed-content در Content Security Policy، از بروز این هشدار جلوگیری کنند.
• در کروم ۸۱، محتوای ترکیبی تصویری هم به‌صورت خودکار به //:https به‌روزرسانی می‌شود. به‌علاوه اگر محتوا قابلیت بارگذاری با https را نداشته باشد، به‌صورت خودکار مسدود می‌شود. کروم ۸۱ فوریه‌ی ۲۰۲۰ در کانال‌‌های ابتدایی توزیع عرضه می‌شود.»

بیانیه و آموزش‌های گوگل، به وب‌مسترها توصیه می‌کند که از عدم بارگذاری منابع از طریق HTTP مطمئن شوند. منظور از منابع، هرگونه محتوای iframe، کوکی، فایل‌های CSS و جاوااسکریپت، صوت، ویدئو و خصوصا تصویر است. مهندسان گوگل برای شروع تغییر در روند بارگذاری، منابع زیر را پیشنهاد می‌کنند:

• «از بخش بازرسی محتوای ترکیبی Content Security Policy و Lighthouse استفاده کنید تا محتوای ترکیبی موجود در وب‌سایت‌ را شناسایی کنید.
• منابع موجود برای مهاجرت به HTTPS مانند این لینک را مطالعه کنید.
• سیستم‌های مدیریت محتوا و میزبان وب و CDN را بررسی کنید؛ شاید آن‌ها ابزارهای لازم را برای دیباگ کردن محتوای ترکیبی داشته باشند؛ به‌عنوان مثال اکنون کلودفلر ابزارهای متعددی برای این منظور دارد و افزونه‌های وردپرس متعددی هم در مخزن وردپرس وجود دارند.»