כפי הודענו בספטמבר, בקרוב מערכת Chrome תסמן דפים לא מאובטחים שמכילים שדות להזנת סיסמה וכרטיס אשראי כלא מאובטחים בסרגל כתובות ה-URL.
המסמך הזה נועד לעזור למפתחי אתרים לעדכן את האתרים שלהם כדי למנוע את ההצגה של האזהרה הזו.
הפעלת אזהרות
האזהרות יופעלו כברירת מחדל לכל המשתמשים בגרסה 56 של Chrome, שצפויה לצאת בינואר 2017.
כדי לבדוק את חוויית המשתמש החדשה לפני כן, צריך להתקין את הגרסה האחרונה של Google Chrome Canary.
כדי להגדיר את Chrome כך שיציג את האזהרה כפי שהיא תופיע בינואר 2017, פותחים את הקובץ chrome://flags/#mark-non-secure-as ומגדירים את האפשרות Mark non-secure origins as
non-secure לערך Display a verbose state when password or credit card
fields are detected on an HTTP page. לאחר מכן מפעילים מחדש את הדפדפן.
דוגמה להתנהגות האזהרה של הדפדפן מופיעה בדף הזה.
כשהסטטוס 'לא מאובטח' מוצג, בחלונית של DevTools מוצגת ההודעה This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar.
טיפול באזהרות
כדי לוודא שהאזהרה 'לא מאובטח' לא תוצג בדפים שלכם, עליכם לוודא שכל הטפסים שמכילים רכיבי <input type=password> וכל הקלט שנזהה בתור שדות של כרטיסי אשראי נמצאים רק במקורות מאובטחים. כלומר, הדף ברמה העליונה חייב להיות ב-HTTPS, ואם ה-input נמצא ב-iframe, גם ה-iframe הזה חייב להופיע ב-HTTPS.
אם באתר שלכם יש שכבת-על של מסגרת התחברות ב-HTTPS מעל דפי HTTP…
תצטרכו לשנות את האתר כך שישתמש ב-HTTPS בכל האתר (האפשרות האידיאלית) או להפנות את חלון הדפדפן לדף HTTPS שמכיל את טופס הכניסה:
לטווח ארוך – שימוש ב-HTTPS בכל מקום
בסופו של דבר, Chrome יציג אזהרה על כך שהדף לא מאובטח בכל הדפים שמוצגים באמצעות HTTP, גם אם הדף מכיל שדות קלט רגישים וגם אם לא. גם אם תבחרו באחת מהפתרונות הממוקדים יותר שצוינו למעלה, כדאי לתכנן את ההעברה של האתר כך שישתמש ב-HTTPS בכל הדפים.