Google Chrome, web üzerinde bazı “karışık içerik” türlerini engelliyor. Google artık daha da ciddi hale geldiğini duyurdu: 2020’nin başlarından itibaren Chrome varsayılan olarak tüm karışık içerikleri engelleyerek mevcut web sayfalarını kıracak.
Karma İçerik Nedir?
Burada iki tür içerik vardır: Güvenli, şifreli bir HTTPS bağlantısı üzerinden gönderilen içerik ve şifrelenmemiş bir HTTP bağlantısı üzerinden gönderilen içerik. HTTPS kullandığınızda, içerik geçiş sırasında gözetlenemez veya üzerinde oynanamaz; bu nedenle, kritik web siteleri finansal bilgiler veya özel verilerle uğraşırken şifreleme sunar.
Web, HTTPS web sitelerini güvenli hale getirmek için taşınıyor. Şifrelemeden daha eski bir HTTP web sitesine bağlanırsanız, Google Chrome artık bu web sitelerinin “güvenli olmadığı” konusunda sizi uyarır. Google, artık “https: //” göstergesini varsayılan olarak gizler. Ve yeni HTTP / 3 standardı yerleşik şifrelemeye sahip olacaktır.
Ancak bazı web sayfaları ne tamamen HTTPS ne de tamamen HTTP olabilir. Bazı web sayfaları güvenli bir HTTPS bağlantısı üzerinden dağıtılır, ancak şifrelenmemiş bir HTTP bağlantısı üzerinden görüntü, komut dosyası veya diğer kaynakları alır. Bu tür web sayfalarının içeriği tam olarak güvenli olmadığı için “karma içeriklidir”. Web sayfasının kendisi değiştirilemedi, ancak değiştirilebilecek bir komut dosyası, resim veya iframe (başka bir web sayfasındaki “çerçeve” içindeki bir web sayfası) içeri çekebilir.
Karışık İçerik Neden Kötü?
Karışık içerik kafa karıştırıcı. Bir şekilde hem güvenli hem de güvenli olmayan bir web sayfasını görüntülüyorsunuz. Örneğin, genellikle güvenli bir web sayfası HTTP aracılığıyla bir JavaScript dosyasını içeri çekebilir. Bu komut dosyası, örneğin, güvenilir olmayan genel bir Wi-Fi ağındaysanız, web sayfasında tuş vuruşlarınızı izlemekten bir izleme çerezi eklemeye kadar birçok kötü şey yapmak üzere değiştirilebilir.
Komut dosyaları ve iframe’ler (“etkin içerik”) en tehlikelisi olsa da, görüntüler, videolar ve sesle karışık içerik bile riskli olabilir. Örneğin, bir hisse senedi geçmişinin görüntüsünü HTTP aracılığıyla çeken güvenli bir hisse senedi alım satım web sitesini görüntülediğinizi düşünün. Bu görüntü güvenli değil; yanlış ayrıntıları göstermek için geçiş sırasında değiştirilmiş olabilir. Ayrıca, şifrelenmemiş bir bağlantı üzerinden teslim edildiğinden, aktarılan veriyi gözetleyen herkes hangi stoğa baktığınızı bilir.
Böyle bir içeriği karıştırmak kötü bir fikirdir. Bir web sayfası HTTPS kullanıyorsa, tüm kaynakları HTTPS aracılığıyla da alınmalıdır. Bu sadece tarihi bir kaza; Web HTTP ile başladı ve web siteleri yavaş yavaş HTTPS’ye geçirildi. Yaptıkları gibi, her yerde HTTPS kaynaklarını kullanmak için her zaman güncelleme yapmadılar. Veya, o sırada HTTPS’yi desteklemeyen üçüncü taraf bir kaynağa bağlı olabilirler.
Artık Google ve diğer tarayıcı satıcıları karışık içerikleri daha zor ve cesaret kırıcı hale getirdiklerinde, web sitelerinin işleri temizlemesi gerekecek, böylece web sayfaları varsayılan olarak çalışmaya devam edecektir.
Chrome’da Tam Olarak Neler Değişiyor?
Chrome şu anda karışık komut dosyalarını ve iframe’leri engelliyor. Ocak 2020’de erken yayın kanallarına sunulacak olan Chrome 80’de, Chrome karışık ses ve video kaynaklarını engelleyecek – teknik olarak, bunları güvenli bir HTTPS bağlantısı üzerinden yüklemeye ve eğer yapmazlarsa engellemeye çalışacak. Karışık görüntüler yüklenir, ancak Chrome web sayfasının “Güvenli Değil” olduğunu söyler. Chrome 81’de Chrome, karışık görüntülerin yüklenmesini de durduracaktır. Kullanıcılar, karışık içeriğin yüklenmesine izin verebilir, ancak varsayılan olarak yüklenmez.
Her şey web’i daha güvenli hale getirmenin bir parçası. Google’ın blog gönderisi, “Güvenli Değil” mesajının “web sitelerini resimlerini HTTPS’ye geçirmeye motive edeceğini” söyledi.
Chrome, Karışık İçeriğin Engelini Kaldırmanıza Nasıl İzin Verir?
Chrome, adres çubuğunda bir kalkan simgesi ve “Güvensiz içerik engellendi” mesajı ile bazı karışık içerik türlerini zaten engelliyor. Google tarafından oluşturulan bu karışık içerik örneği sayfasında nasıl çalıştığını görebilirsiniz. Örneğin, karma içerik komut dosyasının engellemesini kaldırmak için “Güvenli olmayan komut dosyaları yükle” adlı bir bağlantıyı tıklamanız gerekir.
Karışık içeriği çalıştırmayı kabul ediyorsanız, web sayfası Güvensiz’den Güvenli Değerine değişir.
Google, Aralık 2019’da yayınlanacak olan Chrome 79’da bunu basitleştirecek. Sayfanın adresinin solundaki kilit simgesini tıklamanız, “Site Ayarları” nı tıklamanız ve ardından o sitenin karışık içeriğinin engellemesini kaldırmanız gerekir.
Çoğu insan bir site için asla karışık içerik etkinleştirmemelidir. Web sitesi geliştiricilerinin kaynakları güvenli bir şekilde sunmak için web sitelerini düzeltmeleri gerekir. Bu seçenek, eski bir site kullanan herkes için devre dışı bırakılsa bile siteye erişmeye devam etmesini sağlar.
Bunu gerektiren bir siteye ihtiyacınız varsa endişelenmeyin: Google, Chrome’a karışık içerik yükleme seçeneğini kaldırdığı bir tarih açıklamamıştır. Google’ın web tarayıcısı varsayılan olarak tüm karışık içeriği engelliyor olacak ancak öngörülebilir gelecek için karışık içeriği etkinleştirmek bir seçenek sunmaya devam edecek.
Diğer Tarayıcılar Hakkında
Chrome yalnız değil. Firefox, komut dosyaları ve iframe’ler gibi karışık içerikleri de engeller ve yeniden etkinleştirmek için bir “Şimdilik korumayı devre dışı bırak” ayarını tıklamanız gerekir. Mozilla’nın Google’ın izinden gitmesini bekliyoruz. Apple’ın Safari’si de karışık içeriği engelleme konusunda saldırgan.
Ve elbette, Microsoft’un yeni Edge tarayıcısı, Google Chrome için temel oluşturan Chromium kodunu temel alacak ve Chrome gibi davranacak.