כפי שהודענו בספטמבר, Chrome יסמן בקרוב דפים לא מאובטחים שמכילים את שדות הקלט סיסמה וכרטיס אשראי כלא מאובטחים בסרגל הכתובות.
המסמך הזה נועד לעזור למפתחי אתרים לעדכן את האתרים שלהם כדי להימנע מהאזהרה הזו.
הפעלת האזהרות
האזהרות יופעלו כברירת מחדל אצל כל המשתמשים ב-Chrome 56, ומתוכנן לצאת לינואר 2017.
כדי לבדוק את חוויית המשתמש הצפויה לפני הזמן הזה, כדאי להתקין את גרסת ה-build העדכנית של Google Chrome Canary.
כדי להגדיר ל-Chrome להציג את האזהרה כפי שתופיע בינואר 2017, צריך לפתוח את chrome://flags/#mark-non-secure-as
ולהגדיר את האפשרות Mark non-secure origins as
non-secure
לערך Display a verbose state when password or credit card
fields are detected on an HTTP page
. לאחר מכן מפעילים מחדש את הדפדפן.
בדף הזה תוכלו לראות דוגמה להתנהגות האזהרה של הדפדפן.
כשמופיע מצב לא מאובטח, במסוף כלי הפיתוח מוצגת ההודעה This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar.
פתרון האזהרות
כדי להבטיח שהאזהרה 'לא מאובטח' לא תוצג בדפים שלכם, עליכם לוודא שכל הטפסים שמכילים רכיבי <input type=password>
וכל קלט שמזוהה כשדות של כרטיסי אשראי נמצאים רק במקורות מאובטחים. כלומר, הדף ברמה העליונה חייב להיות HTTPS. אם
ה-input
נמצא ב-iframe, צריך להציג את ה-iframe גם ב-HTTPS.
אם באתר מוצגת שכבת-על של מסגרת התחברות ל-HTTPS מעל דפי HTTP...
צריך לשנות את האתר כך שישתמש ב-HTTPS לכל האתר (אידיאלי) או להפנות את חלון הדפדפן לדף HTTPS שמכיל את טופס ההתחברות:
לטווח ארוך - שימוש ב-HTTPS בכל מקום
בסופו של דבר, Chrome יציג אזהרה מסוג 'לא מאובטח' לכל הדפים שמוצגים ב-HTTP, גם אם הדף מכיל שדות קלט רגישים. גם אם תבחרו להשתמש באחת מהרזולוציות המטורגטות יותר שמפורטות למעלה, עדיין כדאי לתכנן להעביר את האתר לשימוש ב-HTTPS בכל הדפים.