Zgodnie z ogłoszeniem z września w Chrome wkrótce na pasku adresu oznaczone zostaną jako niezabezpieczone strony zawierające pola wprowadzania hasła i karty kredytowej.
Ten dokument ma pomóc programistom stron internetowych w aktualizowaniu witryn, aby uniknąć wyświetlania tego ostrzeżenia.
Włączanie ostrzeżeń
Ostrzeżenia będą domyślnie włączone dla wszystkich użytkowników w Chrome 56, którego wydanie zaplanowano na styczeń 2017 roku.
Aby przetestować nowe funkcje przed ich udostępnieniem, zainstaluj najnowszą wersję Google Chrome Canary.
Aby skonfigurować Chrome tak, aby wyświetlał ostrzeżenie w postaci, w jakiej będzie ono widoczne od stycznia 2017 r., otwórz chrome://flags/#mark-non-secure-as i ustaw opcję Mark non-secure origins as
non-secure na Display a verbose state when password or credit card
fields are detected on an HTTP page. Następnie uruchom ponownie przeglądarkę.
Przykład ostrzeżenia przeglądarki znajdziesz tutaj.
Gdy stan „Niebezpieczne” jest wyświetlany, konsola DevTools pokazuje komunikat This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar.
Rozwiązywanie ostrzeżeń
Aby mieć pewność, że na Twoich stronach nie będzie wyświetlać się ostrzeżenie o braku zabezpieczeń, musisz zadbać o to, aby wszystkie formularze zawierające elementy <input type=password> oraz wszystkie dane wejściowe wykryte jako pola karty kredytowej były dostępne tylko w bezpiecznych domenach. Oznacza to, że strona najwyższego poziomu musi być wyświetlana przez HTTPS, a jeśli input znajduje się w ramce iframe, rama ta również musi być wyświetlana przez HTTPS.
Jeśli Twoja witryna wyświetla ramkę logowania HTTPS na stronach HTTP…
Musisz zmienić witrynę, aby używała protokołu HTTPS w przypadku całej witryny (najlepszy wariant) lub przekierować okno przeglądarki na stronę HTTPS zawierającą formularz logowania:
Długoterminowe – używaj HTTPS wszędzie
W przyszłości Chrome będzie wyświetlać ostrzeżenie o niebezpieczeństwie w przypadku wszystkich stron obsługiwanych przez HTTP, niezależnie od tego, czy zawierają one pola wrażliwe. Nawet jeśli zastosujesz jedno z wyżej wymienionych bardziej ukierunkowanych rozwiązań, powinieneś zaplanować migrację witryny na korzystanie z protokołu HTTPS na wszystkich stronach.