A equipe do Google Chrome realizará uma experiência nesta semana, na tentativa de encontrar soluções para um problema de HTTPS. A Fundação Mozilla também tentou resolver o mesmo problema no ano passado. Trata-se de uma página exibir inicialmente conteúdo HTTPS mas também possuir conteúdo HTTP. Assim, o Google testa atualização automática para HTTPS no Chrome.
Conteúdo misto
O problema que o Google está tentando resolver é chamado de “conteúdo misto”, que o Google descreve da seguinte forma:
O conteúdo misto ocorre quando o HTML inicial [uma página da Web] é carregado por meio de uma conexão HTTPS segura, porém outros recursos (como imagens, vídeos, folhas de estilo, scripts) são carregados em uma conexão HTTP insegura. Isso é chamado de conteúdo misto porque o conteúdo HTTP e HTTPS estão sendo carregados para exibir a mesma página, e a solicitação inicial era segura por HTTPS. Navegadores modernos exibem avisos sobre esse tipo de conteúdo para indicar ao usuário que esta página contém recursos inseguros.
Problema sem solução?
Nos últimos anos, o conteúdo misto tem sido um grande problema para os criadores de navegadores e outras organizações que vêm promovendo a adoção de HTTPS.
Erros de navegador de conteúdo misto – que às vezes são conhecidos por bloquear usuários de acessar um site – têm assustado muitos operadores de sites de migrarem para HTTPS. Portanto, muitos temem perder receita de tráfego sem nenhum benefício tangível para suportar HTTPS.
Lidar com erros de conteúdo misto que aparecem em navegadores da Web é provavelmente o último obstáculo importante para convencer os operadores de sites a migrar para o HTTPS.
O experimento do Google
Esta semana, os engenheiros do Google lançaram uma experiência no Chrome. Assim, configuraram o navegador para atualizar automaticamente qualquer conteúdo misto para o HTTPS completo.
O Chrome faria isso alterando secretamente a URL de recursos (como imagens, vídeos, folhas de estilo, scripts) de sua versão HTTP para uma alternativa HTTPS.
Se o mesmo recurso existir em um link HTTPS, tudo será carregado normalmente. Se o recurso não existir em um link alternativo de HTTPS, o Chrome registrará o erro e executará um dos muitos cenários configurados para esse experimento (detalhados neste documento).
A idéia é que quando os proprietários de sites atualizam seus sites para usar HTTPS, eles podem ter esquecido de alterar o código-fonte dos mesmos. Então, algum conteúdo foi deixado para carregar via HTTP, mesmo que tenha sido carregado via HTTPS.
O objetivo desse experimento é que os engenheiros do Google possam saber quantos sites quebrariam se o Google Chrome atualizasse automaticamente todos os sites de conteúdo misto para HTTPS. Além disso, eles podem saber qual seria a melhor estratégia de fallback para URLs HTTP de conteúdo misto.
Eles esperam que a porcentagem de links e sites quebrados seja pequena. Assim, os engenheiros do Google pensariam em enviar esse recurso de atualização automática para HTTPS no navegador principal do Chrome. Com certeza, este seria um passo em direção a uma Web mais segura.
Onde será testado
Por enquanto, o Google pretende lançar o experimento para cerca de 1% de sua base de usuários do Chrome Canary. Assim, quem usar o Canary só precisará ativar a função com o comando:
chrome://flags/#enable-origin-trials flag
Como já dissemos, a experiência do Google não será a primeira desse tipo. A Mozilla testou com uma atualização automática de conteúdo misto semelhante no Firefox no ano passado.
Eles encontraram muita quebra. No entanto, esperamos que as coisas tenham melhorado desde o experimento, disse Emily Stark, engenheira de segurança do Google.
Outras experiências para lidar com conteúdo misto também são agendadas.