Zgodnie z zapowiedzią z września Chrome wkrótce oznaczy niezabezpieczone strony zawierające pola do wprowadzania hasła i karty kredytowej na pasku adresu URL jako Niezabezpieczone.
Ten dokument ma pomóc twórcom stron internetowych w aktualizowaniu witryn, aby uniknąć tego ostrzeżenia.
Włącz ostrzeżenia
Ostrzeżenia będą domyślnie włączone dla wszystkich użytkowników Chrome w wersji 56. Planowana data premiery to styczeń 2017 r.
Aby wcześniej przetestować nowe funkcje, zainstaluj najnowszą kompilację Google Chrome Canary.
Aby skonfigurować w Chrome wyświetlanie ostrzeżenia w takiej postaci, w jakiej będzie pojawiać się w styczniu 2017 roku, otwórz chrome://flags/#mark-non-secure-as i ustaw opcję Mark non-secure origins as
non-secure na Display a verbose state when password or credit card
fields are detected on an HTTP page. Następnie ponownie uruchom przeglądarkę.
Przykładowe działanie ostrzeżenia w przeglądarce możesz zobaczyć na tej stronie.
Gdy widoczny jest stan Niezabezpieczona, konsola Narzędzi deweloperskich wyświetla komunikat This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar.
Usuń ostrzeżenia
Aby ostrzeżenie o braku zabezpieczeń nie było wyświetlane w przypadku Twoich stron, musisz upewnić się, że wszystkie formularze zawierające elementy <input type=password> oraz dane wejściowe wykryte jako pola karty kredytowej występują tylko w bezpiecznych źródłach. Oznacza to, że strona najwyższego poziomu musi korzystać z protokołu HTTPS, a element input znajduje się w elemencie iframe, a element ten musi być również wyświetlany przez HTTPS.
Jeśli witryna nakłada na strony HTTP ramkę logowania HTTPS...
Musisz zmienić witrynę na HTTPS w całej witrynie (idealnie) lub przekierować okno przeglądarki na stronę HTTPS zawierającą formularz logowania:
Długoterminowa – używaj protokołu HTTPS wszędzie
W końcu Chrome wyświetli ostrzeżenie „Brak zabezpieczeń” w przypadku wszystkich stron wyświetlanych przez HTTP, niezależnie od tego, czy zawierają one poufne pola do wprowadzania danych. Nawet jeśli zastosujesz jedno z bardziej ukierunkowanych rozwiązań powyżej, warto zaplanować przeniesienie witryny tak, aby na wszystkich stronach korzystała z protokołu HTTPS.