في خطوة لتحسين خصوصية المستخدم وأمنه، قررت شركة جوجل حظر تحميل المواقع الإلكترونية التي تحتوي ما يسمى بـ «المحتوى المختلط» في متصفحها الشهير كروم نظرًا لتعريضه المستخدمين للخطر.
وبالفعل تقوم الشركة حاليًا بحظر بعض صفحات الويب، لكن بدءًا من أوائل عام 2020 ستأخذ جوجل الأمر بشكل جدي بحيث سيتم حظر تحميل كل المحتوى المختلط بشكل افتراضي على المتصفح. دعني أخبرك ما يعنيه ذلك.
المحتوى المختلط – Mixed Content
لكي تفهم معنى الـ Mixed Content عليك أن تدرك اولًا أنه يوجد نوعان من المحتوى على شبكة الإنترنت: محتوى يتم إرساله بطريقة مشفرة وآمنة عبر بروتوكول HTTPS ومحتوى آخر يُرسل عبر بروتوكول HTTP مع عدم أخذ الجانب الأمني في الاعتبار.
كل موقع إلكتروني عليه أن يختار أي بروتوكول يستخدم، فإذا وقع الاختيار على HTTPS سيتم تشفير البيانات المرسلة بين متصفح الإنترنت وبين الموقع؛ وهذا هو السبب في أن المواقع التي تتطلب إدخال بيانات مهمة وكذلك المواقع الخاصة بالبنوك ومواقع الشراء عبر الإنترنت تعتمد بروتوكول HTTPS دائمًا لحماية مستخدميها من التجسس على البيانات المرسلة والمستقبلة من قبل المخترقين لأن هذا ما قد يحدث إذا تم استخدام بروتوكول HTTP.
في الواقع، معظم متصفحات الويب الحديثة تقوم بتمييز المواقع التي تستخدم بروتوكول HTTP على انها مواقع “غير آمنة Not secure” حيث تظهر إشارة بذلك في شريط العنوان.
وحتى أن الإصدارات الحديثة من جوجل كروم تخفي عرض البروتوكول المستخدم على شريط العنوان، حيث يظهر حاليًا عنوان الموقع الرئيسي – بدون “https://” في البداية، وتقول جوجل أن هذا التغيير جاء لأن المواقع آمنة بشكل افتراضي.
ومع ذلك، هناك مواقع قد تستخدم كل البروتوكولات معًا، بحيث لا تستخدم HTTPS بالكامل أو HTTP بالكامل. بمعنى آخر، يتم إرسال صفحات الويب عبر بروتوكول HTTPS بشكل آمن ومشفر، ولكن في الوقت نفسه تحتوي على مصادر فرعية غير آمنة ذات امتداد “HTTP” سواء صور أو صوت أو مقاطع فيديو خارجية.
ومن هنا جاء مفهوم “المحتوى المختلط”، فالموقع يستخدم كل من HTTPS و HTTP معًا في صفحة واحدة وبالتالي لا يكون مشفراً بشكل تام، فقد يقع الزائر ضحية لأساليب الاصطياد الإلكتروني بسبب نص أو صورة داخل هذا الموقع، على الرغم من إشارة المتصفح إليه بأنه “مصدر أمان” !
لماذا يجب حظر المحتوى المختلط؟
قد يبدو المحتوى المختلط مُربك قليلًا، فأنت تتصفح بطريقة ما صفحة ويب آمنة وغير آمنة في نفس الوقت حيث يستخدم الموقع بروتوكول HTTPS، لكن نفس الموقع يحتوي على ملف JavaScript عبر بروتوكول HTTP والذي يمكن تعديله للقيام بأنشطة ضارة، من مراقبة ضغطات المفاتيح إلى زرع ملفات “كوكيز” للتتبع في الكمبيوتر.
حتى أن الصور ومقاطع الفيديو التي يتم إرسالها عبر بروتوكول HTTP تشكل تهديدًا أمنيًا.
على سبيل المثال، يمكن العبث في هذه الصورة غير الآمنة لإظهار تفاصيل مختلفة عن ما يوجد في الصورة الأصلية، بحيث يتم تركيب محتوى مزيف فوق المحتوى الحقيقي. ولأن الاتصال غير مشفر، يمكن التطفل على نشاط التصفح الخاص بك.
بدأت جوجل وغيرها من الشركات المطورة لمتصفحات الويب في القضاء على “المحتوى المختلط” بإحباط تحميل هذا المحتوى داخل المتصفح.
وبالتالي سيتعين على أصحاب المواقع أن يجعلوا مواقعهم آمنة تمامًا عند استخدام بروتوكول HTTPS لأنه في حال إذا كان هناك أي محتوى HTTP لن يعمل الموقع داخل هذه المتصفحات.
مراحل حظر المحتوى المختلط في جوجل كروم
في الوقت الحالي، يعمل متصفح جوجل كروم على حظر البرامج النصية والـ iframes (صفحة ويب داخل في صفحة ويب أخرى) المختلطة.
لكن في إصدار Chrome 80، والمتوقع وصوله في يناير 2020، يبدأ حظر مصادر الصوت والفيديو المختلطة بشكل إفتراضي – بينما الصور سيتم تحميلها مع الإشارة إلى الموقع بأنه “غير آمن Not Secure” حتى لو كان يستخدم بروتوكول HTTPS.
وبحلول إصدار Chrome 81 سيتوقف المتصفح عن تحميل الصور المختلطة أيضًا. لكن سيتوفر خيار للمُستخدمين حيث يمكنهم السماح بتحميل المحتوى المختلط إذا أرادوا ذلك.
ومن المتوقع أن يتصاعد التضييق على المواقع التي تضم محتوى مختلط في الإصدارات التالية. هذا كله في سبيل جعل الويب أكثر أمانًا، حيث أوضحت جوجل في منشور رسمي لها أن إشارة “Not Secure” سوف تحفز أصحاب مواقع الويب على تحديث المحتوى لاستخدام HTTPS بدلًا من HTTP.
كيف سيسمح كروم بإلغاء حظر المحتوى المختلط ؟
كما أشرنا سلفًا، يحظر متصفح جوجل كروم حاليًا بعض أنواع المحتوى المختلط ويشير إلى ذلك بإظهار أيقونة الدرع في شريط العناوين والتي تحتوي على رسالة “تم حظر المحتوى غير الآمن Insecure content blocked”.
يمكنك أخذ فكرة واضحة بعد زيارة هذه الصفحة التي أنشأتها جوجل. فإذا أردت السماح بتحميل المحتوى المختلط، اضغط على أيقونة الدرع ثم Load unsafe scripts لإعادة تحميل صفحة الويب. وهنا ستلاحظ أن المتصفح بدأ يعتبر الموقع غير آمن Not Secure بعدما كان آمنًا قبل السماح بتحميل المحتوى المختلط.
تقول جوجل أنه سيتم تبسيط الأمور في إصدار Chrome 79 المتوقع وصوله في ديسمبر 2019. بحيث سيتعين عليك النقر فوق رمز القفل على يسار شريط العنوان، ثم النقر فوق “إعدادات الموقع Site Settings” ثم استخدام الخيار المسؤول عن إلغاء حظر المحتوى المختلط لهذا الموقع.
ولكن في الإصدارات القادمة، ستزيد صعوبة الوصول إلى هذا الخيار لأنه لا يجب على المستخدمين السماح بتحميل المحتوى المختلط في أي موقع. بل يجب على أصحاب المواقع جعل كل مصادر الموقع آمنة.
ماذا عن متصفحات الويب الأخرى ؟
جوجل كروم ليس وحده المتصفح الذي يحظر المحتوى المختلط، بل يحظر فايرفوكس المحتوى المختلط مثل البرامج النصية والـ iframes أيضًا ويمكن النقر على إعداد “Disable protection for now” للسماح بتحميله عند الحاجة. ويتوقع أن تتبع شركة موزيلا خطى جوجل في مراحل القضاء على المحتوى المختلط.
بينما متصفح Safari من آبل يقوم حاليًا بحظر المحتوى المختلط دون توفير أي خيار للسماح بتحميله.
ولأن متصفح إيدج الجديد من مايكروسوفت مبني على نواة Chromium، فسوف يحظر هو الآخر المحتوى المختلط مثل جوجل كروم.
