Come annunciato a settembre, Chrome contrassegnerà a breve le pagine non sicure contenenti i campi di immissione password e carta di credito come Non sicure nella barra dell'URL.
Lo scopo di questo documento è aiutare gli sviluppatori web ad aggiornare i propri siti al fine di evitare questo avviso.
Attiva avvisi
Gli avvisi verranno attivati per impostazione predefinita per tutti gli utenti in Chrome 56, il cui rilascio è previsto per gennaio 2017.
Per testare l'esperienza utente in arrivo prima di questa data, installa la build più recente di Google Chrome Canary.
Per configurare Chrome in modo che mostri l'avviso come verrà visualizzato a gennaio 2017, apri
chrome://flags/#mark-non-secure-as e imposta l'opzione Mark non-secure origins as
non-secure su Display a verbose state when password or credit card
fields are detected on an HTTP page. Quindi, riavvia il browser.
In questa pagina è disponibile un esempio del comportamento di avviso del browser.
Quando viene visualizzato lo stato Non sicuro, la console DevTools mostra il messaggio This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar..
Risolvi gli avvisi
Per assicurarti che l'avviso Non sicuro non venga visualizzato per le tue pagine, devi assicurarti che tutti i moduli contenenti gli elementi <input type=password> e gli eventuali input rilevati come campi per carte di credito siano presenti solo su origini sicure. Ciò significa che la pagina di primo livello deve essere HTTPS e, se la input si trova in un iframe, anche quell'iframe deve essere pubblicato tramite HTTPS.
Se il tuo sito sovrappone un frame di accesso HTTPS a pagine HTTP...
Dovrai modificare il sito in modo che utilizzi HTTPS per l'intero sito (idealmente) oppure reindirizzare la finestra del browser a una pagina HTTPS contenente il modulo di accesso:
Lungo termine: utilizza HTTPS ovunque
Alla fine, Chrome mostrerà un avviso Non sicuro per tutte le pagine pubblicate tramite HTTP, indipendentemente dal fatto che la pagina contenga o meno campi di immissione sensibili. Anche se adotti una delle risoluzioni più mirate riportate sopra, dovresti pianificare la migrazione del tuo sito all'utilizzo di HTTPS per tutte le pagine.