Selon les chiffres de Google, les utilisateurs de Chrome passent " plus de 90 % de leur temps à naviguer via HTTPS sur toutes les plateformes majeures. " À partir de l'année prochaine, la chasse au contenu mixte va s'intensifier.
Un contenu mixte fait référence à des ressources comme des images, vidéos, feuilles de style ou encore scripts qui sont chargées par le biais d'une connexion non sécurisée HTTP alors que c'est une connexion avec le protocole HTTPS qui a été initiée.
Des contenus HTTP et HTTPS sont ainsi chargés afin d'afficher la même page, d'où la notion de contenu mixte. Le cas échéant, les navigateurs alertent l'utilisateur pour ce qui représente un risque avec des attaques de type man-in-the-middle.
Google Chrome va bloquer tout le contenu mixte par défaut. Comme souvent, cela se fera de manière progressive, notamment le temps que les développeurs s'adaptent, sachant que des scripts ou iframes sont en réalité déjà bloqués par défaut.
Dans la mesure du possible, du contenu HTTP sera automatiquement mis à niveau vers HTTPS si des ressources sont disponibles comme pour l'audio et la vidéo. Un même traitement sera ultérieurement appliqué pour les images.
Sans possibilité de mise à niveau pour un chargement via HTTPS, ce sera donc le blocage par défaut. Tout devrait être en place avec la version 81 de Google Chrome. Le calendrier avec les différentes étapes est détaillé dans ce billet de blog.
