Chrome-update moet websites die https combineren met http veiliger maken

Google werkt aan een update voor Chrome die problemen met zogenaamde ‘mixed content’-websites, die zowel https als http gebruiken, oplost.

Google wil het probleem met onveilige mixed content-websites verhelpen. Mixed content-sites zijn websites die intussen overgestapt zijn naar het veilige https-protocol, maar waarvan verschillende bronnen op de site nog wel via http worden ingeladen. Denk bijvoorbeeld aan foto’s of video. Het gebruik van het onveilige http-verbindingen op een als veilig beschouwde https-site zet Chrome er toe aan de alarmbel te luiden. Gebruikers krijgen beveiligingswaarschuwingen te zien, en de site zelf kan plots moeilijk toegankelijk worden.

https-voorkeur

Mixed content is op die manier nefast voor websiteontwikkelaars, omdat het een negatieve impact op de trafiek kan hebben. Bij http blijven en https-implementatie op de lange baan schuiven is een optie, maar vandaag geven de meeste browsers bovenaan aan dat dergelijke sites minder veilig zijn. Bovendien verkiest Google https in de ranking van zijn zoekresultaten.

Om mixed content-problemen om te lossen, werkt Google nu aan een update. Die update gaat er vanuit dat de meeste problemen het gevolg zijn van vergetelheden in de code. Komt Chrome http-content tegen op een https-site, dan zal de browser de http-url automatisch upgraden naar https. De redenering is dat de kans heel groot is dat de gezochte bronnen ook op die manier toegankelijk zijn, en dat het probleem zich uitsluitend in de html-code van de website bevindt.

Optimisme

Lukt het toch niet om de hele site zo geforceerd via https te laden, dan onderzoekt Google welke opties het interessantst zijn. Het is niet de bedoeling om met grote beveiligingswaarschuwingen te strooien, en de site ontoegankelijk te maken voor gebruikers. Google zal de update uitrollen naar een subgroep van de Chrome Canary-gebruikers, met als doel de aanpak te evalueren. Mozilla probeerde vorig jaar immers iets gelijkaardigs met Firefox, met weinig succes. “Zij ontdekten dat [het forceren van https] veel zaken stuk maakte”, geeft Emily Stark, ontwikkelaar bij Google, toe aan ZDNet. “We hopen dat de zaken er sinds dat experiment op vooruit zijn gegaan.

Gerelateerd: Chrome krijgt ‘never slow’-modus die internet stuk maakt