Mixed content là gì? Và tại sao Chrome lại chặn nó?

Google Chrome đã chặn một số loại mixed content trên web. Hiện giờ, Google tuyên bố họ sẽ thi hành việc này nghiêm trọng hơn. Bắt đầu từ năm 2020, Chrome sẽ chặn mọi thứ các mixed content theo mặc định, phá vỡ một số trang web hiện có. Vậy mixed content là gì? Tại sao Chrome lại chặn nó?

• Phải làm gì nếu Google Chrome cảnh báo một trang web không an toàn?
• Bạn đã biết phương pháp chặn trang web trên Chrome chưa?
• Cách sửa lỗi kết nối SSL trên Chrome và Firefox

Mixed content là gì?

Có hai loại nội dung ở đây: nội dung được phân phối qua kết nối HTTPS mã hóa, an toàn và nội dung được phân phối qua kết nối HTTP chưa được mã hóa. Khi sử dụng HTTPS, nội dung không bị theo dấu hoặc giả mạo trong công đoạn vận chuyển, đó là lý do tại sao các trang web quan trọng cung cấp mã hóa này khi giải quyết thông tin tài chính hoặc dữ liệu riêng tư.

Web đang chuyển qua các trang web HTTPS an toàn. Nếu truy cập vào trang web cũ HTTP mà không có mã hóa, Google Chrome sẽ cảnh báo bạn những trang web này là Not secure (Không an toàn). Giờ đây, Google thậm chí ẩn “htttp://” theo mặc định. Và tiêu chuẩn mới HTTP/3 sẽ có mã hóa tích hợp.

Nhưng rất nhiều trang web có thể không tận gốc là HTTPS hoặc HTTP. Một số website được phân phối qua kết nối HTTPS an toàn nhưng hình ảnh, scripts hoặc các tài nguyên khác thông qua kết nối HTTP không được mã hóa. Những trang web như vậy có mixed content (nội dung hỗn hợp) vì chúng không tận gốc an toàn. Bản thân trang web thì chẳng thể bị giả mạo nhưng hình ảnh, script hoặc iframe (trang web bên trong một khung hình trên một trang web khác) có thể bị giả mạo.

Tại sao mixed content không tốt?

Mixed content gây nhầm lẫn. Bạn đang xem một trang web vừa an toàn lại không an toàn. Ví dụ, một trang web thường an toàn và bảo mật cũng có thể có thể lấy một file JavaScript thông qua HTTP. Script đấy cũng đều có thể bị sửa đổi nếu bạn đang sử dụng mạng Wifi công cộng không đáng tin cậy để thực hành nhiều điều không tốt trên trang web từ theo dõi tổ hợp phím của bạn đến chèn cookie theo dõi.

• Những điều cần phải biết khi sử dụng wifi nơi công cộng

Mặc dù script và iframe – nội dung hoạt động – là hiểm nguy nhất nhưng thậm chí hình ảnh, video và nội dung hỗn hợp âm thanh cũng cũng có thể gặp rủi ro. Ví dụ, hãy mường tượng bạn đang xem một trang web giao dịch chứng khoán an toàn lấy hình ảnh của lịch sử chứng khoán thông qua HTTP thì ảnh đó không an toàn, nó cũng có thể có thể bị giả mạo trong qui trình vận chuyển để hiển thị thông tin không chính xác. Ngoài ra, vì nó được vận chuyển sang kết nối không mã hóa, nên bất cứ ai đang rình rập dữ liệu trong qui trình vận chuyển đều đã biết loại cổ phiếu bạn đang xem.

Đó là lý do tại sao mixed content lại không tốt. Nếu trang web sử dụng HTTPS, tất cả tài nguyên của nó sẽ có vận chuyển sang HTTPS. Các trang web dần được nâng cấp lên HTTPS. Tuy nhiên, họ không phải bao giờ cũng cập nhật để sử dụng tài nguyên HTTPS hoặc lệ thuộc vào tài nguyên bên thứ ba không giúp HTTPS.

Hiện nay, Google và các nhà cung cấp trình duyệt khác khiến mixed content khó khăn hơn, buộc trang web phải dọn dẹp mọi thứ để cũng đều có thể tiếp tục hoạt động theo mặc định.

Vậy chính xác Chrome thay đổi những gì?

Chrome hiện chặn script và iframe hỗn hợp. Trong Chrome 80, sẽ được phát hành sớm trong tháng 1/2020, Chrome sẽ chặn tài nguyên âm thanh và video hỗn hợp. Về mặt kỹ thuật, nó sẽ cố tải chúng qua kết nối HTTPS an toàn và chặn chúng nếu không qua kết nối an toàn. Hình ảnh hỗn hợp có thể tải nhưng Chrome sẽ thông báo trang web đó là không an toàn. Trong Chrome 81, Chrome sẽ dừng tải hình ảnh hỗn hợp. Người dùng có thể cho phép tải mixed content nhưng không thể tải theo mặc định.

Những hành động này sẽ làm web an toàn hơn. Bài đăng trên blog của Google bảo rằng họ hy vọng thông báo “Not Secure” sẽ là động lực thúc đẩy các trang web chuyển hình ảnh của họ qua HTTPS.

Cách Chrome cho phép bỏ chặn mixed content

Chrome đã chặn một số loại mixed content với icon khiên trong thanh địa điểm và thông báo Insecure content blocked. Để bỏ chặn một script hỗn hợp, bạn phải click vào liên kết có tên Load unsafe scripts .

Nếu đồng ý chạy mixed content, trang web thay đổi từ Secure thành Not Secure .

Google sẽ đơn giản hóa điều ấy trong Chrome 79, phát hành vào tháng 12/2019. Bạn sẽ phải click vào icon khóa ở bên trái địa chỉ trang, click vào Site Settings và sau đó bỏ chặn mixed content cho trang web đó.

Tùy chọn này hơi khó tìm nhưng đây chính là nguyên nhân vì hầu hết người dùng không nên kích hoạt mixed content cho trang web. Các nhà phát triển trang web cần sửa trang web để cung cấp tài nguyên an toàn. Tùy chọn này đảm bảo những ai sử dụng trang web mua bán cũ hơn vẫn cũng đều có thể tiếp tục truy cập được, ngay cả những lúc mixed content bị vô hiệu hóa cho mọi người.

Nếu cần một trang web yêu cầu điều này, bạn chẳng cần lo lắng. Google không thông báo ngày nó loại bỏ tùy chọn tải mixed content trên Chrome. Trình duyệt web của Google sẽ chặn mixed content theo mặc định nhưng sẽ tiếp tục cung cấp tùy chọn bật nó trong tương lai gần.

Vậy những trình duyệt web khác thì sao?

Chrome không đơn độc trong trận chiến này. Firefox cũng chặn mixed content như script và iframe, đòi hỏi người sử dụng click vào cài đặt Disable protection for now để kích hoạt lại nó. Hy vọng Mozilla sẽ đi theo bước chân của Google. Safari của Apple cũng tương đối tích cực trong việc chặn mixed content.

Và tất nhiên, trình duyệt Edge mới của Microsoft dựa trên mã Chromium tạo thành nền tảng cho Google Chrome và sẽ hoạt động giống như Chrome.

mixed content là gì,tìm hiểu về mixed content,nội dung hỗn hợp,chrome chặn mixed content,bỏ chặn mixed content,tải mixed content

Nội dung Mixed content là gì? Và tại sao Chrome lại chặn nó? được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.