כפי שפורסם בספטמבר, Chrome יסמן בקרוב בסרגל כתובות ה-URL דפים לא מאובטחים שמכילים סיסמה וכרטיסי אשראי כלא מאובטחים.
המסמך הזה נועד לעזור למפתחי אתרים לעדכן את האתרים שלהם כדי להימנע מהאזהרה הזו.
הפעלת האזהרות
האזהרות יופעלו כברירת מחדל לכל המשתמשים ב-Chrome 56. תקופת האזהרות צפויה להתפרסם בינואר 2017.
כדי לבדוק את חוויית המשתמש הצפויה לפני המועד הזה, צריך להתקין את גרסת ה-build העדכנית של Google Chrome Canary.
כדי להגדיר ש-Chrome יציג את האזהרה כפי שהיא תופיע בינואר 2017, צריך לפתוח את chrome://flags/#mark-non-secure-as ולהגדיר את האפשרות Mark non-secure origins as
non-secure ל-Display a verbose state when password or credit card
fields are detected on an HTTP page. לאחר מכן צריך להפעיל מחדש את הדפדפן.
אפשר לראות דוגמה להתנהגות האזהרה של הדפדפן בדף הזה.
כשמוצג המצב 'לא מאובטח', מוצגת ההודעה This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar. במסוף כלי הפיתוח
טיפול באזהרות
כדי לוודא שהאזהרה 'לא מאובטח' לא תוצג בדפים שלכם, עליכם לוודא שכל הטפסים שמכילים רכיבי <input type=password> וכל קלט שמזוהה כשדות של כרטיסי אשראי נמצאים רק במקורות מאובטחים. כלומר, הדף ברמה העליונה חייב להיות HTTPS, ואם input נמצא ב-iframe, חובה להציג את ה-iframe גם ב-HTTPS.
אם האתר יוצר שכבת-על של מסגרת התחברות מסוג HTTPS מעבר לדפי HTTP...
צריך לשנות את השימוש ב-HTTPS לכל האתר (האידיאלי) או להפנות את חלון הדפדפן לדף HTTPS שמכיל את טופס ההתחברות:
לטווח ארוך – שימוש ב-HTTPS בכל מקום
בסופו של דבר, Chrome יציג את האזהרה 'לא מאובטח' לכל הדפים שמוצגים באמצעות HTTP, גם אם הדף מכיל שדות להזנת קלט רגיש וגם אם לא. גם אם תשתמשו באחת מהרזולוציות המטורגטות יותר שהוזכרו למעלה, כדאי לתכנן להעביר את האתר לשימוש ב-HTTPS בכל הדפים.