Loading

Google a protezione degli utenti dai download non sicuri in Google Chrome

Data pubblicazione: Sep 13, 2022
Descrizione

Google sta implementando delle modifiche graduali al browser Google Chrome in modo da bloccare il rendering del contenuto misto e i download di contenuto misto. A partire dal mese di gennaio 2021, Google bloccherà, per impostazione predefinita, i download di file HTTP di immagini, documenti e pdf, eseguiti da siti HTTPS.

Questo articolo verte sui prodotti Salesforce core. Per i seguenti prodotti, vedere:

Per gli altri Cloud e prodotti, vedere la sezione In che modo questa modifica incide sugli altri prodotti e Cloud? di seguito.

 

Quali prodotti sono interessati dalla modifica?

Questa modifica potrebbe avere un impatto sulla capacità degli utenti finali di accedere ai download o alle immagini non HTTPS avviati sulle pagine sicure di Salesforce.

  • Immagini

Se un contenuto quale un'immagine o un video è ospitato su una pagina HTTP non sicura e viene visualizzato su una pagina HTTPS sicura, apparirà un'immagine interrotta. 

  • Download

Quando, da una pagina Web HTTPS sicura, si fa clic su un link o un allegato ospitato su un sito HTTP o FTP non sicuro, verrà generato un errore.

 

Quale azione è possibile intraprendere?

Esaminare il proprio contenuto personalizzato e assicurarsi che sia servito tramite un host HTTPS sicuro. Il protocollo HTTPS utilizza la crittografia dei dati in transito (TLS) per impedire gli attacchi, quali gli attacchi di tipo man-in-the-middle. Il metodo di configurazione di HTTPS potrebbe variare in base al servizio che si sta utilizzando. Per ulteriori istruzioni sulla configurazione di HTTPS, visitare i link specifici di ciascun servizio indicati in precedenza. Per maggiori informazioni, consultare il blog di Google Chrome.
 

In che modo questa modifica incide sugli altri prodotti e Cloud?

Per aggiornare questo articolo con più informazioni possibile, il team Tecnologia di Salesforce ha valutato il modo in cui questa modifica incide sui suoi prodotti nei vari Cloud e piani.
 

Commerce Cloud 

Esaminare i modelli di email personalizzati alla ricerca di contenuto misto. I modelli di email personalizzati controllati dal cliente sono l'unica area interessata da questa modifica.
 

Cloud dei vari settori

Vlocity 

Esaminare la UI sviluppata in modo personalizzato e le classi Apex alla ricerca di potenziali problemi con il contenuto misto. La UI sviluppata in modo personalizzato include pagine Visualforce, componenti Aura e contenuto LWC o HTML/CSS/JS servito tramite un host sicuro. Per le classi Apex personalizzate, verificare la presenza di variabili URL impostate nel codice, nei dati o ricevute da API esterne e che sono incorporate e renderizzate nella UI. Eventuale contenuto non sicuro incorporato che viene servito tramite un URL HTTP può essere rimosso o sostituito con un host HTTPS sicuro.
 

Experience Cloud (precedentemente Community Cloud) 

Controllare le pagine Visualforce, i componenti Lightning e la configurazione delle comunità per assicurarsi che non utilizzino il contenuto misto. Assicurarsi che eventuali link che puntano a contenuto scaricabile creato o configurato nei propri componenti utilizzino HTTPS.

Contenuto CMS Salesforce
Per la creazione di elementi multimediali con riferimenti esterni, utilizzare URL "https://" sicuri per mantenere la funzionalità completa del proprio contenuto. Gli elementi multimediali con riferimenti esterni che hanno URL non sicuri non mostrano più le immagini in miniatura e le anteprime in modo nativo.

 

Perché Google apporta questa modifica?

I download non sicuri rappresentano un rischio per la sicurezza e la privacy degli utenti. Ad esempio, possono essere scambiati e sostituiti con malware, oppure gli autori di attacchi di tipo eavesdropping possono intercettare e leggere gli estratti conto bancari scaricati in modo non sicuro dagli utenti. Per affrontare questi rischi, Google prevede di rimuovere il supporto dei download non sicuri in Chrome. In base a quanto annunciato da Google, Chrome garantirà gradualmente che le pagine sicure (HTTPS) scaricheranno solo file sicuri. In una serie di fasi delineate nella sezione sulla tempistica, Chrome inizia a bloccare i download di contenuto misto, ovvero download non HTTPS avviati su pagine sicure. Questa decisione segue un piano annunciato da Google lo scorso anno che prevedeva di bloccare tutte le sottorisorse non sicure sulle pagine sicure. Inizialmente, Google si sta concentrando sui download non sicuri avviati su pagine sicure. Questi tipi di download sono particolarmente preoccupanti in quanto Chrome adesso non avvisa l'utente circa la possibilità che la sua privacy e sicurezza siano a rischio.

 

Come posso ottenere altre informazioni?

Per informazioni dettagliate da Google e per conoscere la tempistica, leggere il blog di Google Chrome.

Risoluzione

Domande frequenti:

Che cos'è il contenuto misto?

Le pagine Web vengono renderizzate dai browser in base a due protocolli: HTTP e HTTPS. Un sito Web che segue il protocollo HTTPS è molto più sicuro di un sito che si basa su HTTP. I siti abilitati per HTTPS sono crittografati, il che assicura l'autenticazione, l'integrità dei dati e la segretezza. Alcuni siti Web, tuttavia, caricano contenuto HTTPS e HTTP sulla stessa pagina: questo contenuto viene chiamato Contenuto misto. La maggior parte dei siti che presentano problemi di contenuto misto contengono risorse esterne, quali immagini, video, fogli di stile e oppure script che sono caricati tramite il dominio HTTP. Benché la richiesta iniziale sia inviata come HTTPS, dopo che il contenuto misto viene renderizzato nel browser Google Chrome, il sito viene mostrato come non sicuro perché esiste la possibilità che le risorse HTTP possano danneggiare gli utenti. 

 

Qual è la tempistica di questa modifica?

La distribuzione di Google Chrome pianificata inizia con un avviso nel browser per arrivare in seguito a bloccare i download di contenuto misto. Riportiamo qui il programma di distribuzione di Google Chrome. 

Tipo di contenuto

Esempi di file

Avviso nel browser

Blocco

Eseguibili

exe, apk

Chrome 84 (ago)

Chrome 85 (set)

Archivi

zip, iso

Chrome 85 (set)

Chrome 86 (ott)

Documenti

pdf, docx

Chrome 86 (ott)

Chrome 87 (nov)

Multimediali

png, mp3

Chrome 87 (nov)

Chrome 89 (gen '21)

 

Quali elementi non sono inclusi?

1. Siti/URL solo HTTP

L'impatto sembra essere specifico del contenuto non sicuro visualizzato su pagine sicure. È improbabile che ci siano errori in una pagina solo HTTP che mostra contenuti solo HTTP.

2. Caricamento di pagine HTTP

La modifica non blocca il caricamento di un sito solo HTTP o il rendering di un'email in un client email senza Transport Layer Security (TLS). Pertanto le pagine solo HTTP che non hanno contenuti HTTPS continuano a funzionare.

Numero articolo Knowledge

000389288

 
Caricamento
Salesforce Help | Article