Как запретить хрому на https сайте грузить http контент?

Question

[tmin10]

Часто https сайты имеют контент, который грузится по http, при этом браузер показывает, что соединение не совсем безопасно. Как запретить загружать такой контент?

Answer 1

[MyHabrahabr]

Если ещё актуально, блокировка загрузки смешанного контента включается параметром --enable-strict-mixed-content-checking.

Например, у вас Google Chrome закреплён в панели задач. Открываем в проводнике папку %AppData%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar, открываем свойства ярлыка и в строке "Объект" дописываем пробел и --enable-strict-mixed-content-checking

Comments

[tmin10]

То, что нужно! А не подскажите, что происходит, если https страница захочет подгрузить http контент? Он просто не будет загружен?

[MyHabrahabr]

Да, пассивный контент (мультимедиа) не будет загружен, в консоли разработчика (Ctrl-Shift-J) можно будет увидеть конкретный список.

Формы ввода данных, которые делают отправку из HTTPS на HTTP, не блокируются. Баг закрыли со статусом by design, но планируют в будущем изменить подход.

[tmin10]

так, только что опять получил серый замочек и сообщение в консоли:
Mixed Content: The page at 'https://www.google.ru/search...' was loaded over HTTPS, but requested an insecure image 'http://cd....jpg'. This content should also be served over HTTPS.
Причём картинка успешно загрузилась и отобразилась...

[MyHabrahabr]

Перезагружали браузер полностью после внесения изменений?
Браузер запускаете чётко по ярлыку, в свойствах которого прописан параметр?
Первый запуск был обычным окном, не инкогнито?

[tmin10]

На все вопросы да, в диспетчере видно, что первый бинарник хрома запущен с данным параметром, вкладка обычная.

[tmin10]

На странице https://www.ssllabs.com/ssltest/viewMyClient.html видно, что разрешены Images Passive: Yes

[MyHabrahabr]

До запуска этого бинарника не оставалось работающих процессов chrome.exe? Попробуйте всё закрыть, дождаться полного отсутствия chrome.exe и уже тогда попробовать снова.

Должно быть так: habrastorage.org/files/504/609/9c7/5046099c752f4d5...

[tmin10]

Всё так, прочий контент блокируется, а картинки так и загружаются... Кажется я столкнулся с багом хрома/хромиума: https://code.google.com/p/chromium/issues/detail?i...
Подпишусь, может будет найдено решение.

[MyHabrahabr]

А какая ОС?

[tmin10]

Windows 7 pro ru

[MyHabrahabr]

У меня Ultimate SP1. Да, и разрядность 32. У вас не 64, случайно?

[tmin10]

Да, 64 битная ОС, но хром 32 битный...

[MyHabrahabr]

По возможности проверьте 64-битный Хром. Но в любом случае, если не блокируется, это баг. Только вам лучше создать свой, так как баг 450458 касается Linux.

[tmin10]

Не знал, что он есть, попробую найти. Спасибо за совет, создам.

[MyHabrahabr]

А ведь раньше эта опция в настройках была, не нужно было с параметрами командной строки париться. Сплошные регрессии и ориентирование на домохозяек.

Когда баг с загрузкой смешанного контента закрывают со статусом by design, а баг с принятием отозванного 9 месяцев назад сертификата закрывают со статусом WontFix, нужно ли объявлять использование HTTP небезопасным? Google, спасибо, кэп! А то, что Chrome — самый НЕбезопасный браузер в плане HTTPS, про это что-то молчат…

[tmin10]

Нет, 64 битный хром имеет всё тот же баг.
Зато теперь у меня целых 2 хрома, причём 64 битный почему-то установился в Program Files (x86)...
Открою новый баг, посмотрим, что ответят...

Answer 2

[Ярослав Володимирович]

Доброго дня. Ну как вариант смотрите в сторону расширений типа https://chrome.google.com/webstore/detail/securedd... (обратите внимание на предупреждение)
иными способами навряд ли вы сможете что то сделать со своей стороны

Comments

[Алексей]

это приложение не нужно уже "Deprecated since Sept. 8, 2014.". Опция https-only есть в настройках

[Ярослав Володимирович]

Да, поэтому я и добавил (обратите внимание на предупреждение)

[tmin10]

zlyoha: Хм, не нашёл как включить эту опцию, на станице chrome://flags/ упоминание https есть только в пункте "Разрешить незащищенные соединения WebSocket, если источник подключен через https", но это совсем противоположная настройка...

[Алексей]

myr4ik07: пардон, недопонял про предупреждение.
tmin10: Эта опция на сайте реддита, извините, что в заблуждение мог ввести

Answer 3

[Алексей]

Возможно следует обратиться к HSTS-списку, который для chrome, например, редактируется на странице chrome://net-internals/#hsts
Проверил для toster.ru работает, предустановленные сайты из списка удалять нельзя

Comments

[tmin10]

Это уже лучше, но добавлять так каждый сайт...
И что значат пункты Include subdomains for STS и Include subdomains for PKP?
Также немного не понял, как посмотреть весь список заданные доменов, в запросе надо указывать конкретные урлы...

[Алексей]

tmin10: Так полагаю полный список, который можно найти, если перейти по ссылке вверху станицы настроек src.chromium.org/viewvc/chrome/trunk/src/net/http/...
Include subdomains - включая поддомены.
PKP - Public Key Pinning, если правильно понял - ручное указание публичного ключа ssl. Его хеш указывается полем ниже Public key fingerprints
https://wiki.mozilla.org/SecurityEngineering/Publi...

[tmin10]

Эта возможность не даёт эффекта отмены загрузки контента по http на сайтах из списка, проверить очень просто: если зайти на сайт из списка google.com, включить поиск по картинкам и открыть какую-либо, то будет опять ситуация, когда часть контента загружено по http, о чём предупреждает посеревший замочек в адресной строке...