20.11.2019

גוגל כרום יחסום בהדרגה תוכן מעורב החל מדצמבר 2019

מהו תוכן מעורב? זהו תרגום עברי למונח Mixed Content, דהיינו משאבים בלתי-מאובטחים בתוך סביבה מאובטחת. במילים פשוטות, אתר המתיימר להיות מאובטח  לחלוטין (SSL) יצטרך לוודא כי הוא אינו מציג קבצים ומסמכים בלתי מאובטחים (HTTP).

בעלי אתרים רבים נכנסו ללחץ ב-3 באוקטובר עקב הודעת גוגל על חסימה הדרגתית של תכנים מעורבים בדפים של אתרים מאובטחים. לכן, חשוב להבהיר מה הולך לקרות לנו בתחילת דצמבר 2019:
  1. אתרים שאינם מאובטחים לא ייחסמו בתוצאות החיפוש של גוגל
  2. אתרים שאינם מאובטחים לא ייחסמו בדפדפן גוגל כרום
  3. אתרים מאובטחים לחלוטין (HTTPS) אינם צפוים לחוות שום שינוי
  4. אתרים מאובטחים המכילים תוכן מעורב (HTTP) יטופלו כך שהתוכן המעורב יוצג כמשאב מאובטח
  5. אתרים מאובטחים שלא ניתן לשדרג תוכן בלתי-מאובטח למאובטח, יחוו חסימה חלקית
 מבחינת רוב בעלי האתרים, כדאי לבדוק כבר עכשיו אם יש בעיה בשדרוג אוטומטי של תוכן מעורב (לא מאובטח) למצב של תוכן מאובטח - דהיינו, כזה שניתן להציג אותו גם בנתיב שמתחיל ב-HTTPS.

הנימוק הבסיסי הוא אבטחתי, כמובן: גוגל חייבת לדאוג לכך שמשתמשי אינטרנט לא ייפלו קורבן להאקרים ופושעי סייבר. ברגע שמשאב מסוים בדף מאובטח הוא בלתי-מאובטח, נוצר "חור אבטחה" שניתן לנצלו לרעה במהירות - פירצה קוראת לגנב. מבחינת גוגל, "כרום" אחראית לשלומם של משתמשיה.

גוגל ממליצה לבעלי אתרים להשתמש בכלים כמו לייטהאוס כדי לבצע בדיקה מקדימה, תהליכי דיבאגינג, לשכתב את הקוד ולדאוג לכך שכל שאר המשאבים ניתנים לשדרוג אוטומטי מיידי.

האם זה אומר שכל עסק קטן יידרש לרכוש תעודת אבטחה יקרה? לא בהכרח. אם האתר משמש לצרכי מסחר אלקטרוני, ברור שהוא חייב להיות מאובטח עבור לקוחותיו. אבל אתרים אחרים שאינם מבצעים טרנסאקציות כלכליות, אינם חייבים לאבטח את עצמם בהכרח. בעלי אתרים מאובטחים, לעומת זאת, יהיו חייבים לחסל את כל ה"מיקסד קונטנט" עד סוף נובמבר 2019.

לזכותם של אנשי גוגל ייאמר, שהם מקפידים להחמיר בהדרגה את נושא האבטחה בשנים האחרונות, וזו אינה הפתעה. אבן-דרך משמעותית בנושא היא ההכרזה של גוגל ב-24 ביולי 2018 לפיה כל האתרים שאינם מאובטחים ב-HTTPS יוצגו כ"בלתי-מאובטחים" בגוגל כרום. כדי לרכך את המכה, ב-10 בדצמבר 2018 הם פרסמו פוסט בבלוג הוובמסטרים שלהם, המסביר מדוע וכיצד לבצע "מיגרציה" וכך לאבטח את האתר שלכם בפרוטוקול HTTPS, כולל התייחסות ל"תוכן מעורב" (Mixed Content).

אם עדיין לא אבטחתם את האתר שלכם, כדאי לדעת שטווח מחירי תעודות אבטחה הוא קיצוני למדי: זה יכול להתחיל ב-80 או 90 ש"ח לשנה עבור תעודה פשוטה וקטנה, ולהגיע עד כ-999 ש"ח לשנה על תעודת אבטחה מקצועית הכוללת אימות תעודה מול פרטי העסק (True) + חותם אבטחה דינמי, הכל בדרגת הצפנה של 256 ביט. חשוב לציין כי ברוב המקרים, מחיר לשנתיים זול יותר ממחיר לשנה, עקב מורכבות תהליך החידוש.

אין תגובות:

כל הזכויות שמורות לבלוג חופש החיפוש 2007-2012