Tento týden vyšla aktualizace desktopového prohlížeče Googlu. Chrome 57 se do historie nijak významně nezapíše, má jen dvě novinky, které stojí za zmínku.
Chrome 56 začal upozorňovat na nešifrované weby s formuláři pro zadání osobních údajů. V adresním řádku u nich uvidíte upozornění a hlášku Nezabezpečeno. Sedmapadesátka půjde ještě dál. Na stejných stránkách zobrazí varování přímo ve formulářích.
Podle screenshotu ale uvidíte varování u stránek běžících přes HTTP při zadávání přihlašovacích údajů nebo čísel z platebních karet. Při testu na nintendoshop.cz, jrc.cz nebo lupa.cz jsem však ve formuláři žádnou červenou hlášku neviděl. Na HTTPS přitom neběží žádný z nich.
A druhá novinka? Google odstranil stránku chrome://plugins sloužící k nastavení zásuvných modulů. Zablokovat Flash, integrovanou čtečku PDF a DRM ochranu Widevine můžete v Nastavení obsahu prohlížeče (chrome://settings/content).
Nejspíše přihlašovací dialog na zmíněných stránkách neobsahuje kontrolovaný element input type=password na němž je snad detekce pro varování postavena.
https://developers.google.com/web/updates/2016/10/avoid-not-secure-warn
Ten tam právě je https://screenpresso.com/=7r89c
Na trivialni strance se to chova dle ocekavani.
http://www.monitos.cz/tmp/test/text.html
http://www.monitos.cz/tmp/test/password.html
Stránka může být přes HTTP, ale když bude odeslání formuláře přes HTTPS, tak není problém. Vzápětí bude přesměrování zpět na HTTP a je to. Šetří to výkon serveru a taky nemusíte mít certifikát pro vlastní Web. Kontrola hesla může být na jiné doméně. Ale je to obezlička. Dneska je možné mít certifikát i zadarmo (Let’s Encrypt) nebo do 300 Kč/rok. Hosting si však za HTTPS může říct taky něco.
Na těch dev stránkách Google (odkaz výše) snad zmiňují, že vnořený https objekt k přihlášení bez výstrahy nestačí. Na https musí být celá stránka (např. přesměrování loginu na nové okno) s návratem k http, jinak k varování ze strany Chrome dojde.