Come annunciato a settembre, Chrome contrassegnerà a breve le pagine non protette contenenti i campi di immissione password e carta di credito come Non sicuro nella barra degli URL.
Lo scopo di questo documento è aiutare gli sviluppatori web ad aggiornare i propri siti per evitare questo avviso.
Attiva avvisi
Gli avvisi verranno attivati per impostazione predefinita per tutti gli utenti di Chrome 56 e il loro rilascio è previsto per gennaio 2017.
Per testare la futura esperienza utente prima di questa data, installa la build più recente Google Chrome Canary.
Per configurare Chrome in modo che mostri l'avviso come verrà visualizzato a gennaio 2017, apri
chrome://flags/#mark-non-secure-as e imposta l'opzione Mark non-secure origins as
non-secure su Display a verbose state when password or credit card
fields are detected on an HTTP page. Riavvia il browser.
Puoi vedere un esempio del comportamento di avviso del browser in questa pagina.
Quando viene mostrato lo stato Non sicuro, la console DevTools mostra il messaggio This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar..
Risolvere gli avvisi
Per assicurarti che l'avviso Non sicuro non venga visualizzato per le tue pagine, devi assicurarti che tutti i moduli contenenti elementi <input type=password> e qualsiasi input rilevato come campi per carte di credito siano presenti solo su origini sicure. Ciò significa che la pagina di primo livello deve essere HTTPS e, se input si trova in un iframe, anche questo iframe deve essere pubblicato tramite HTTPS.
Se il tuo sito si sovrappone a un frame di accesso HTTPS alle pagine HTTP...
Dovrai modificare il sito in modo che utilizzi HTTPS per l'intero sito (ideale) o reindirizzare la finestra del browser a una pagina HTTPS contenente il modulo di accesso:
A lungo termine - Utilizza HTTPS ovunque
Alla fine, Chrome mostrerà un avviso Non sicuro per tutte le pagine pubblicate tramite HTTP, indipendentemente dal fatto che contengano o meno campi di immissione sensibili. Anche se adotti una delle risoluzioni più mirate sopra riportate, dovresti pianificare la migrazione del tuo sito in modo da utilizzare HTTPS per tutte le pagine.