Chrome-gebruikers besteden intussen meer dan 90 procent van hun tijd op https-websites. Toch komt nog steeds voor dat https-websites content downloaden via een onbeveiligde http-verbinding. Dat wordt ook wel ‘mixed content’ genoemd.

Risico’s van mixed content

Browsers blokkeren vandaag al verschillende vormen van mixed content, zoals scripts en iframes. Afbeeldingen, audio en video worden wel nog geladen via http. En dat creëert veiligheidsrisico’s.

Zo kan een aanvaller http-content onderscheppen en aanpassen om gebruikers te misleiden, of bestanden injecteren met bijvoorbeeld trackingcookies.

Daarnaast zaait mixed content ook verwarring bij gebruikers, aldus het Chrome-team. Een https-website die nog onbeveiligde afbeeldingen of video’s toont, wordt in browsers als veilig noch onveilig aangeduid.

Graduele uitrol

In een reeks updates wil Chrome die onbeveiligde content gradueel blokkeren. In december wordt de eerste update uitgerold in Chrome 79. Gebruikers zullen dan een nieuwe instelling zien waarmee ze geblokkeerde mixed content kunnen toestaan.

Gebruikers zullen mixed content nog kunnen toestaan.

In versie 80, verwacht in januari, gaat Chrome audio en video die geladen wordt via http, proberen laden via https. Lukt dat niet, dan wordt de content geblokkeerd. De content kan nog gedeblokkeerd worden door bovenstaande instelling.

Vanaf Chrome 81 worden ook afbeeldingen geblokkeerd, indien ze niet kunnen geladen worden via https. Uiteindelijk zal de browser alleen nog beveiligde content toestaan op https-websites.

Waarschuwingen voorkomen

Webontwikkelaars krijgen het advies mee om mixed content meteen aan te passen naar https, om waarschuwingen en defecten te vermijden.

Via een tool zoals Screaming Frog kan je http-links opsporen om ze vervolgens aan te passen. WordPress-gebruikers kunnen de SSL Insecure Content Fixer plug-in gebruiken om mixed content te verhelpen.