Google e l’apocalisse del Mixed Content

apocalisse

C’era una volta il cosiddetto Mobilegeddon. Era l’anno 2015 e Google aveva annunciato un cambiamento epocale: a partire dalla data 21 aprile dello stesso anno tutti i siti web avrebbero dovuto essere responsivi, cioè essere fruibili da dispositivi mobili. Quelli che non avrebbero aderito a questo “nuovo standard minimo” avrebbero pagato un caro prezzo in termini di visibilità, perdendo posizioni sul motore di ricerca più usato al mondo.

Il termine Mobilegeddon (derivato da Armageddon, cioè l’Apocalisse) non lasciava presagire niente di buono, preannunciando terribili sconvolgimenti nelle SERP di Google. La realtà fu molto più mite e la transizione verso la responsività dei siti web non fu un evento così drammatico, così come tanti credevano. Qualcuno convertì il sito web in fretta e furia, altri se la presero comoda. E non ci fu nessun terremoto per la visibilità.

Cinque anni dopo, all’inizio del 2020, Google lancia una nuova “Apocalisse”, attraverso il suo famoso browser Chrome. Diversamente dal Mobilegeddon, questa volta le richieste di Google sono passate un po’ in sordina e, proprio per questo, potrebbero generare maggiore confusione (e danno). Per capire meglio cosa ci attende, dobbiamo chiarire alcuni aspetti legati al mixed content, argomento intorno a cui ruotano le nuove richieste di Google.

Google ha annunciato che a partire da dicembre 2019 il browser Chrome inizierà a bloccare le pagine web composte da contenuti misti.

 

Cosa sono i contenuti misti e perché sono un problema

Oggi la maggior parte dei siti mostrano i loro contenuti tramite il protocollo HTTPS, offrendo una esperienza di navigazione sicura. Grazie all’utilizzo di appositi certificati di sicurezza, che hanno la funzione di proteggere le comunicazioni via internet, si garantisce la riservatezza dei dati sensibili dell’utente.

Per fare in modo che la misura di sicurezza sia efficace è quindi fondamentale che tutte le parti del sito web rispettino questo standard. Per chiarire userò un’immagine semplice: è inutile chiudere a chiave tutte le porte di casa, se poi ci si dimentica di una finestra spalancata. I malintenzionati avrebbero una facile via d’accesso all’abitazione. È quindi necessario un intervento.

Si parla quindi di contenuti misti quando una pagina web protetta dal protocollo HTTPS carica al suo interno delle risorse usando il protocollo HTTP (non crittografato e quindi non protetto). Potenzialmente questa situazione rappresenta un rischio sia per l’utente che usa il sito (qualcuno potrebbe intercettare user, password e dati come la corta di credito) e per chi gestisce il sito (si profilano responsabilità per la perdita de dati personali degli utenti).

Una volta che il blocco sarà attivo le risorse che si basano sul protocollo http potrebbero non funzionare correttamente. Se, per esempio si trattasse di file CSS, file immagine e files Javascript, l’utente potrebbe sperimentare una pessima esperienza di navigazione, perché verrebbero meno elementi importanti per la visualizzazione dei contenuti presenti. Quindi occorre prepararsi e sapere come intervenire prima che il problema si presenti.

 

Chrome e il mixed content

Chrome 79 (disponibile da Dicembre 2019 ed attualmente in uso): verrà introdotta una impostazione per bloccare/sbloccare il contenuto misto presente su un sito. Verrà mostrato un avviso di sicurezza e l’utente potrà scegliere se sbloccare il contenuto manualmente e proseguire la navigazione.

Chrome 80: I file audio e video verranno aggiornati automaticamente cercando la versione HTTPS. Se non disponibile verranno bloccati. Le immagini “non sicure” verranno comunque caricate, ma verrà mostrato un avviso di sicurezza.

Chrome 81: il browser cercherà di caricare automaticamente la versione HTTPS delle immagini. Se non presente, i file immagine non saranno più visibili.

Fortunatamente questo percorso è graduale. Quindi ci sarà diverso tempo per rimediare agli eventuali problemi riscontrati. Ciò non toglie però che sarà necessario fare degli interventi più o meno importanti, a seconda della situazione del sito web.

esempio avviso Chrome mixed content

 

Come affrontare il problema

Il mio suggerimento è quello di fare una verifica prima che il problema si presenti, per evitare malfunzionamenti ed interventi in urgenza. Quindi il primo passo è trovare i contenuti misti. Fortunatamente esistono diversi strumenti che possono tornare utili.

Chrome – Cliccare su un qualsiasi punto della pagina con il tasto destro del mouse e scegliere “ispeziona” dal menu contestuale. Una volta aperta la console dedicata agli sviluppatori selezionare la tab “Security” e verificare la situazione alla ricerca di eventuali problemi presenti.

Screaming Frog – Questo strumento, molto diffuso tra i SEO, è perfetto per effettuare delle verifiche su siti di grandi dimensioni. Dopo aver indicato il sito di interesse è necessario avviare la scansione standard e scegliere la tab “Protocol” che divide le risorse in base ai protocolli HTTP e HTTPS. In questo modo sarà semplice identificare eventuali url inadeguati e sostituire con le rispettive versioni sicure.

Strumenti online – Segnalo un paio di strumenti online che ho trovato utili. Il primo è https://www.jitbit.com/sslcheck/ che opera una scansione automatica per contenuti misti segnalando CSS, immagini e script che possono dare problemi. Il secondo è https://www.whynopadlock.com/, uno strumento di precisione per capire quale risorsa impedisce di visualizzare il lucchetto verde in una specifica pagina web.

Se gli strumenti citati ti segnalano problemi allora dovrai sostituire aggiornare gli url alla versione HTTPS. Qualora la risorsa non fosse disponibile nel protocollo sicuro dovrei trovare una valida alternativa.

Facciamo un esempio per chiarire: diciamo che uno dei font utilizzati sul tuo sito non sia disponibile in HTTPS. Potrai adottare un altro font simile (per esempio usando Google Font) oppure utilizzare lo stesso font dal tuo hosting (senza richiedere il file da remoto). Può anche essere un’operazione non semplice, ma è un possibile soluzione.

 

Vuoi un sito web sicuro?

La questione della sicurezza su internet è attuale più che mai. È necessario fare in modo che la propria presenza online non metta a rischio la privacy degli utenti e la nostra credibilità. Se il tuo sito web aziendale è ormai obsoleto e presenta la scritta “Non Sicuro” è il momento di fare un restyling e creare una nuova immagine per la tua azienda. Contattando Semantik potrai ottenere una soluzione affidabile, moderna e totalmente sicura. Consulta la pagina dedicata alla creazione di siti web per maggiori informazioni.

Semantik

Web Agency a Pavia e provincia

Via Umberto I, 15
27053 Lungavilla (PV)
P.IVA 02067920187
Codice SDI: KRRH6B9

Orari di apertura

Lunedì: 09:00 - 18:00
Martedì: 09:00 - 18:00
Mercoledì: 09:00 - 18:00
Giovedì: 09:00 - 18:00
Venerdì: 09:00 - 18:00
Sabato: Chiuso
Domenica: Chiuso