Mixed content là gì? Và tại sao Chrome lại chặn nó?

Google Chrome đã chặn một số loại mixed content trên web. Hiện giờ, Google tuyên bố họ sẽ thực hiện vấn đề này nghiêm trọng hơn. Bắt đầu từ năm 2020, Chrome sẽ chặn tất cả các mixed content theo mặc định, phá vỡ một số trang web hiện có. Vậy mixed content là gì? Tại sao Chrome lại chặn nó?

• Phải làm gì nếu Google Chrome cảnh báo một trang web không an toàn?
• Bạn đã biết cách chặn trang web trên Chrome chưa?
• Cách sửa lỗi kết nối SSL trên Chrome và Firefox

Mixed content là gì?

Có hai loại nội dung ở đây: nội dung được phân phối qua kết nối HTTPS mã hóa, an toàn và nội dung được phân phối qua kết nối HTTP không được mã hóa. Khi sử dụng HTTPS, nội dung không bị theo dõi hoặc giả mạo trong quá trình vận chuyển, đó là lý do tại sao các trang web quan trọng cung cấp mã hóa này khi xử lý thông tin tài chính hoặc dữ liệu riêng tư.

Web đang chuyển sang các trang web HTTPS an toàn. Nếu truy cập vào trang web cũ HTTP mà không có mã hóa, Google Chrome sẽ cảnh báo bạn những trang web này là Not secure (Không an toàn). Giờ đây, Google thậm chí ẩn “htttp://” theo mặc định. Và tiêu chuẩn mới HTTP/3 sẽ có mã hóa tích hợp.

Nhưng một số trang web có thể không hoàn toàn là HTTPS hoặc HTTP. Một số website được phân phối qua kết nối HTTPS an toàn nhưng hình ảnh, scripts hoặc các tài nguyên khác thông qua kết nối HTTP không được mã hóa. Những trang web như vậy có mixed content (nội dung hỗn hợp) vì chúng không hoàn toàn an toàn. Bản thân trang web thì không thể bị giả mạo nhưng hình ảnh, script hoặc iframe (trang web bên trong một khung hình trên một trang web khác) có thể bị giả mạo.

Tại sao mixed content không tốt?

Mixed content gây nhầm lẫn. Bạn đang xem một trang web vừa an toàn lại không an toàn. Ví dụ, một trang web thường an toàn và bảo mật có thể lấy một file JavaScript thông qua HTTP. Script đấy có thể bị sửa đổi nếu bạn đang sử dụng mạng Wifi công cộng không đáng tin cậy để thực hiện nhiều điều không tốt trên trang web từ theo dõi tổ hợp phím của bạn đến chèn cookie theo dõi.

• Những điều cần biết khi dùng wifi nơi công cộng

Mặc dù script và iframe - nội dung hoạt động - là nguy hiểm nhất nhưng thậm chí hình ảnh, video và nội dung hỗn hợp âm thanh cũng có thể gặp rủi ro. Ví dụ, hãy tưởng tượng bạn đang xem một trang web giao dịch chứng khoán an toàn lấy hình ảnh của lịch sử chứng khoán thông qua HTTP thì hình ảnh đó không an toàn, nó có thể bị giả mạo trong quá trình vận chuyển để hiển thị thông tin không chính xác. Ngoài ra, vì nó được vận chuyển qua kết nối không mã hóa, nên bất cứ ai đang rình mò dữ liệu trong quá trình vận chuyển đều biết loại cổ phiếu bạn đang xem.

Đó là lý do tại sao mixed content lại không tốt. Nếu trang web sử dụng HTTPS, tất cả tài nguyên của nó sẽ được vận chuyển qua HTTPS. Các trang web dần được nâng cấp lên HTTPS. Tuy nhiên, họ không phải lúc nào cũng cập nhật để sử dụng tài nguyên HTTPS hoặc phụ thuộc vào tài nguyên bên thứ ba không hỗ trợ HTTPS.

Hiện nay, Google và các nhà cung cấp trình duyệt khác khiến mixed content khó khăn hơn, buộc trang web phải dọn dẹp mọi thứ để có thể tiếp tục hoạt động theo mặc định.

Vậy chính xác Chrome thay đổi những gì?

Chrome hiện chặn script và iframe hỗn hợp. Trong Chrome 80, sẽ được phát hành sớm trong tháng 1/2020, Chrome sẽ chặn tài nguyên âm thanh và video hỗn hợp. Về mặt kỹ thuật, nó sẽ cố tải chúng qua kết nối HTTPS an toàn và chặn chúng nếu không qua kết nối an toàn. Hình ảnh hỗn hợp có thể tải nhưng Chrome sẽ thông báo trang web đó là không an toàn. Trong Chrome 81, Chrome sẽ dừng tải hình ảnh hỗn hợp. Người dùng có thể cho phép tải mixed content nhưng không thể tải theo mặc định.

Những hành động này sẽ khiến web an toàn hơn. Bài đăng trên blog của Google nói rằng họ hy vọng thông báo “Not Secure” sẽ là động lực thúc đẩy các trang web chuyển hình ảnh của họ qua HTTPS.

Cách Chrome cho phép bỏ chặn mixed content

Chrome đã chặn một số loại mixed content với icon khiên trong thanh địa chỉ và thông báo Insecure content blocked. Để bỏ chặn một script hỗn hợp, bạn phải click vào liên kết có tên Load unsafe scripts.

Nếu đồng ý chạy mixed content, trang web thay đổi từ Secure thành Not Secure.

Google sẽ đơn giản hóa điều này trong Chrome 79, phát hành vào tháng 12/2019. Bạn sẽ phải click vào icon khóa ở bên trái địa chỉ trang, click vào Site Settings và sau đó bỏ chặn mixed content cho trang web đó.

Tùy chọn này hơi khó tìm nhưng đó chính là lý do vì hầu hết người dùng không nên kích hoạt mixed content cho trang web. Các nhà phát triển trang web cần sửa trang web để cung cấp tài nguyên an toàn. Tùy chọn này đảm bảo những ai sử dụng trang web kinh doanh cũ hơn vẫn có thể tiếp tục truy cập được, ngay cả khi mixed content bị vô hiệu hóa cho mọi người.

Nếu cần một trang web yêu cầu điều này, bạn không cần lo lắng. Google không thông báo ngày nó loại bỏ tùy chọn tải mixed content trên Chrome. Trình duyệt web của Google sẽ chặn mixed content theo mặc định nhưng sẽ tiếp tục cung cấp tùy chọn bật nó trong tương lai gần.

Vậy những trình duyệt web khác thì sao?

Chrome không đơn độc trong cuộc chiến này. Firefox cũng chặn mixed content như script và iframe, yêu cầu người dùng click vào cài đặt Disable protection for now để kích hoạt lại nó. Hy vọng Mozilla sẽ đi theo bước chân của Google. Safari của Apple cũng rất tích cực trong việc chặn mixed content.

Và tất nhiên, trình duyệt Edge mới của Microsoft dựa trên mã Chromium tạo thành nền tảng cho Google Chrome và sẽ hoạt động giống như Chrome.