Como anunciamos en septiembre, Chrome pronto marcará las páginas no seguras que contengan campos de entrada de contraseña y tarjeta de crédito como No seguro en la barra de URL.
El objetivo de este documento es ayudar a los desarrolladores web a actualizar sus sitios para evitar esta advertencia.
Cómo habilitar advertencias
Las advertencias se habilitarán de forma predeterminada para todos en Chrome 56, que se lanzará en enero de 2017.
Para probar la próxima experiencia del usuario antes de ese momento, instala la compilación más reciente de Google Chrome Canary.
Para configurar Chrome de modo que muestre la advertencia tal como aparecerá en enero de 2017, abre chrome://flags/#mark-non-secure-as y establece la opción Mark non-secure origins as
non-secure en Display a verbose state when password or credit card
fields are detected on an HTTP page. Luego, reinicia el navegador.
Puedes ver un ejemplo del comportamiento de advertencia del navegador en esta página.
Cuando se muestra el estado No seguro, la consola de Herramientas para desarrolladores muestra el mensaje This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar..
Cómo resolver advertencias
Para asegurarte de que no se muestre la advertencia No seguro en tus páginas, debes asegurarte de que todos los formularios que contengan elementos <input type=password> y las entradas detectadas como campos de tarjeta de crédito estén presentes solo en orígenes seguros. Esto significa que la página de nivel superior debe ser HTTPS y, si input está en un iframe, ese iframe también debe publicarse a través de HTTPS.
Si tu sitio superpone un marco de acceso HTTPS sobre las páginas HTTP…
Deberás cambiar el sitio para usar HTTPS en todo el sitio (ideal) o redireccionar la ventana del navegador a una página HTTPS que contenga el formulario de acceso:
A largo plazo: Usa HTTPS en todas partes
Con el tiempo, Chrome mostrará una advertencia de no segura para todas las páginas que se entreguen a través de HTTP, independientemente de si la página contiene o no campos de entrada sensibles. Incluso si adoptas una de las resoluciones más segmentadas anteriores, debes planificar la migración de tu sitio para usar HTTPS en todas las páginas.