Loading

Protección de Google a los usuarios frente a descargas inseguras en Google Chrome

Fecha de publicación: Sep 13, 2022
Descripción

Google está implantando cambios graduales en el navegador Google Chrome para bloquear la representación de contenido mixto y las descargas de contenido mixto. A partir de enero de 2021, Google bloqueará las descargas de archivos HTTP de imágenes, documentos y archivos PDF desde sitios HTTPS de forma predeterminada.

Este artículo se centra en productos principales de Salesforce. Para los siguientes productos consulte:

Y para otras nubes y productos, consulte la sección ¿Cómo afecta este cambio a otras Nubes y productos?.

 

¿Qué está afectado?

Este cambio puede afectar a la capacidad de los usuarios para acceder a descargas no HTTPS o imágenes iniciadas en páginas seguras dentro de Salesforce.

  • Imágenes

Aparece una imagen rota para el contenido como una imagen o un vídeo que esté alojado en una página HTTP no segura cuando se vea en una página HTTPS segura. 

  • Descargas

Se produce un error procedente de vínculos o datos adjuntos alojados en un sitio HTTP o FTP no seguro cuando se hace clic desde una página web HTTP segura.

 

¿Qué acción puede realizar?

Revise su contenido personalizado y asegúrese de que se sirve a través de un host HTTPS seguro. HTTPS utiliza el cifrado de datos en tránsito (TLS) para evitar ataques del tipo man-in-the-middle (ataques de intermediario). El método de configuración de HTTPS puede cambiar en base al servicio que esté utilizando. Utilice los vínculos específicos del servicio para obtener orientación adicional sobre la configuración de HTTPS. Para obtener más información, lea el blog de Google Chrome.
 

¿Cómo afecta este cambio a otras Nubes y productos?

El equipo de Tecnología de Salesforce ha evaluado cómo afecta este cambio a sus productos en sus nubes y tiene intención de actualizar este artículo cuando haya más información disponible.
 

Commerce Cloud 

Revise si sus plantillas de correo electrónico personalizadas tienen contenido mixto. Las plantillas de correo electrónico personalizadas controladas por el cliente son la única área afectada por este cambio.
 

Industries Cloud

Vlocity 

Revise si en la interfaz de usuario desarrollada de forma personalizada y las clases de Apex existen posibles problemas de contenido mixto. La interfaz de usuario desarrollada de forma personalizada incluye páginas de Visualforce, componentes Aura y contenido LWC o HTML/CSS/JS servido a través de un host seguro. Para las clases de Apex personalizadas, compruebe las variables URL establecidas en el código, en los datos o recibidas desde las API externas que están integradas y representadas en la interfaz de usuario. Cualquier contenido inseguro integrado servido a través de una URL HTTP puede eliminarse o sustituirse por un host HTTPS seguro.
 

Experience Cloud (anteriormente Community Cloud) 

Audite sus páginas de Visualforce, componentes Lightning y la configuración de su comunidad para asegurarse de que no utilizan contenido mixto. Asegúrese de que todos los vínculos que apuntan a contenido descargable creado o configurado en sus componentes utilizan HTTPS.

Contenido CMS de Salesforce
Para la creación de medios a los que se hace referencia de forma externa, utilice direcciones URL “https://” seguras para mantener la capacidad completa de su contenido. Los medios a los que se hace referencia de forma externa con direcciones URL inseguras ya no mostrarán sus imágenes en miniatura y vistas previas de forma nativa.

 

¿Por qué está Google realizando este cambio?

Las descargas inseguras son un riesgo para la seguridad y la privacidad de los usuarios. Por ejemplo, un atacante puede intercambiar por malware las descargas inseguras. También los espías pueden leer extractos bancarios descargados de forma insegura por los usuarios. Para solucionar estos riesgos, Google tiene intención de eliminar la posibilidad de realizar descargas inseguras en Chrome. Google anunció que Chrome garantizará gradualmente que las páginas seguras (HTTPS) solo permitan descargar archivos seguros. En una serie de pasos detallados en la sección de cronología, Chrome empieza a bloquear descargas de contenido mixto, que son descargas no HTTPS iniciadas en páginas seguras. Este paso sigue un plan que Google anunció el año pasado para bloquear todos los subrecursos inseguros en páginas seguras. Inicialmente, Google se está centrando en las descargas inseguras iniciadas en páginas seguras. Estos casos son especialmente preocupantes porque Chrome ahora indica a los usuarios que su privacidad y seguridad están en riesgo.

 

¿Cómo puedo obtener más información?

Lea el blog de Google Chrome para obtener información detallada desde Google y su cronología planificada.

Solución

Preguntas más frecuentes:

¿Qué es el contenido mixto?

Las páginas web representadas por los navegadores se basan en dos protocolos: HTTP y HTTPS. Un sitio web que sigue el protocolo HTTPS es mucho más seguro que uno que utiliza HTTP. Los sitios con capacidad HTTPS están cifrados, lo que garantiza la autenticación, la integridad de los datos y el secreto. Pero algunos sitios web cargan contenido HTTPS y HTTP en la misma página, lo que se denomina Contenido mixto. La mayoría de los sitios que tienen problemas de contenido mixto contienen recursos externos como imágenes, vídeos, hojas de estilo o secuencias de comandos, que se cargan a través del dominio HTTP. Aunque la solicitud inicial se envía como HTTPS, después de que se represente el contenido mixto en el navegador Google Chrome, muestra el sitio como inseguro porque hay posibilidades de que los recursos HTTP puedan dañar a los usuarios. 

 

¿Cuál es la cronología de este cambio?

La implantación planificada por Google comienza con una advertencia de navegador y luego pasa a bloquear las descargas de contenido mixto. El programa de implantación de Google Chrome es el siguiente. 

Tipo de contenido

Ejemplos de archivos

Advertencia de navegador

Bloqueo

Ejecutables

exe, apk

Chrome 84 (Agosto)

Chrome 85 (Septiembre)

Archivos comprimidos

zip, iso

Chrome 85 (Septiembre)

Chrome 86 (Octubre)

Documentos

pdf, docx

Chrome 86 (Octubre)

Chrome 87 (Noviembre)

Multimedia

png, mp3

Chrome 87 (Noviembre)

Chrome 89 (Enero de 2021)

 

¿Qué no se incluye?

1. Sitios solo HTTP/Direcciones URL

La repercusión parece ser específica para el contenido no seguro mostrado en páginas seguras. Una página solo HTTP que muestra contenido solo de HTTP posiblemente no falle.

2. Carga de páginas HTTP

El cambio no bloquea la carga de un sitio solo con HTTP o la representación de un mensaje de correo electrónico en un cliente de correo electrónico sin seguridad en la capa de transporte (TLS). De este modo, las páginas solo HTTP que no tienen HTTPS siguen funcionando.

Número del artículo de conocimiento

000389288

 
Cargando
Salesforce Help | Article