Unikanie ostrzeżenia o braku zabezpieczeń w Chrome

Zgodnie z zapowiedzią z września Chrome wkrótce oznaczy niezabezpieczone strony z polami do wprowadzania hasła i karty kredytowej jako Niezabezpieczone na pasku adresu URL.

Ten dokument ma pomóc twórcom witryn w aktualizowaniu witryn w celu uniknięcia tego ostrzeżenia.

Włącz ostrzeżenia

Ostrzeżenia będą domyślnie włączone dla wszystkich użytkowników Chrome w wersji 56, która ma zostać udostępniona w styczniu 2017 roku.

Aby wcześniej przetestować nowe funkcje, zainstaluj najnowszą kompilację Google Chrome Canary.

Aby skonfigurować w Chrome wyświetlanie ostrzeżenia w styczniu 2017 roku, otwórz chrome://flags/#mark-non-secure-as i ustaw opcję Mark non-secure origins as non-secure na Display a verbose state when password or credit card fields are detected on an HTTP page. Następnie uruchom ponownie przeglądarkę.

Przykład użycia ostrzeżenia w przeglądarce znajdziesz na tej stronie.

Gdy widoczny jest stan Niezabezpieczony, w konsoli Narzędzi deweloperskich wyświetla się komunikat This page includes a password or credit card input in a non-secure context. A warning has been added to the URL bar.

Przykładowe ostrzeżenie w konsoli.

Rozwiązywanie problemów związanych z ostrzeżeniami

Aby ostrzeżenie o niebezpieczeństwie nie było wyświetlane w przypadku Twoich stron, musisz upewnić się, że wszystkie formularze zawierające elementy <input type=password> i dane wejściowe wykryte jako pola karty kredytowej występują tylko w bezpiecznych źródłach. Oznacza to, że strona najwyższego poziomu musi używać protokołu HTTPS, a jeśli element input znajduje się w elemencie iframe, musi on również wyświetlać się przez HTTPS.

Jeśli witryna nakłada na strony HTTP ramkę logowania HTTPS...

Przykładowe logowanie HTTPS przez HTTP.

Musisz zmienić witrynę tak, aby używała protokołu HTTPS dla całej witryny (to idealne rozwiązanie), albo przekierować okno przeglądarki na stronę HTTPS zawierającą formularz logowania:

Przykład logowania HTTPS przez HTTPS.

Długoterminowe – używaj protokołu HTTPS wszędzie

W końcu Chrome wyświetli ostrzeżenie o braku zabezpieczeń w przypadku wszystkich stron wyświetlanych przez HTTP, niezależnie od tego, czy zawierają one poufne pola do wprowadzania danych. Nawet jeśli wybierzesz jedno z bardziej ukierunkowanych rozwiązań wymienionych powyżej, musisz zaplanować migrację witryny, aby na wszystkich stronach obsługiwała protokół HTTPS.