Come annunciato a settembre, a breve Chrome contrassegnerà le pagine non sicure contenenti campi di immissione di password e carte di credito come Non sicuro nella barra degli URL.
Questo documento intende aiutare gli sviluppatori web ad aggiornare i propri siti per evitare questo avviso.
Attivare gli avvisi
Gli avvisi verranno attivati per impostazione predefinita per tutti gli utenti in Chrome 56, la cui release è prevista per gennaio 2017.
Per testare l'esperienza utente imminente prima di questa data, installa la build più recente di Google Chrome Canary.
Per configurare Chrome in modo che mostri l'avviso che verrà visualizzato a gennaio 2017, apri
chrome://flags/#mark-non-secure-as e imposta l'opzione Mark non-secure origins as
non-secure su Display a verbose state when password or credit card
fields are detected on an HTTP page. Quindi, riavvia il browser.
Puoi vedere un esempio del comportamento dell'avviso del browser su questa pagina.
Quando viene visualizzato lo stato Non sicuro, la console di DevTools mostra il messaggio This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar.
Risolvere gli avvisi
Per assicurarti che l'avviso Non sicuro non venga visualizzato per le tue pagine, devi assicurarti che tutti i moduli contenenti elementi <input type=password> e tutti gli input rilevati come campi per carte di credito siano presenti solo su origini sicure. Ciò significa che la pagina di primo livello deve essere HTTPS e, se input si trova in un iframe, anche l'iframe deve essere pubblicato tramite HTTPS.
Se il tuo sito sovrappone un frame di accesso HTTPS alle pagine HTTP…
Dovrai modificare il sito in modo da utilizzare HTTPS per l'intero sito (ideale) o reindirizzare la finestra del browser a una pagina HTTPS contenente il modulo di accesso:
A lungo termine: utilizza HTTPS ovunque
Alla fine, Chrome mostrerà un avviso Non sicuro per tutte le pagine servite tramite HTTP, indipendentemente dal fatto che la pagina contenga o meno campi di immissione sensibili. Anche se adotti una delle soluzioni più mirate sopra indicate, ti consigliamo di pianificare la migrazione del tuo sito all'utilizzo di HTTPS per tutte le pagine.