Dwa miliony podstron z problemami czyli słowo o mixed content

Wciskając przycisk “publikuj” przy artykule o mixed content, zastanawiałem się jaka jest skala tego problemu. Treści mieszane to elementy przesyłane przez nieszyfrowany protokół http:// na stronach https://, są to m.in. grafiki, wideo czy JavaScript. Takie zasoby mają być blokowane przez nadchodzącą wersję przeglądarki Chrome. Interesowało mnie ile stron może mieć kłopoty z wyświetlaniem strony w Chrome w 2020 roku. Postanowiłem sprawdzić jak wyglądało to dotychczas i okazało się, że około 12% kont zarejestrowanych w Pulno zawierało analizy stron, które miałyby problemy z przesyłaniem elementów bez szyfrowania. W celu jeszcze dokładniejszej obserwacji zbudowaliśmy specjalny algorytm, który przeanalizował posiadane przez nas dane, czyli ponad 37 milionów podstron z ponad 400 tysięcy polskich domen i wyciągnął z tego wnioski.

Mixed Content w Polsce

Trochę liczb:

Ponad 37 milionów sprawdzonych podstron 

2.210.025 podstron z problemami

636.892 sprawdzonych hostów

30.911 hostów z problemami

Według danych ze statcounter (03/2019) udział Chrome to 62,61%. Własne dane z dużego portalu medycznego pokazują nawet większy udział Chrome sięgający 68% (11/2019).

Problemy z zasobami przesyłanymi przez nieszyfrowany protokół dotyczą prawie 5% sprawdzonych hostów.

Na 30911 hostów z mixed content:

20.552 ma problem z grafikami

5285 ma problem ze skryptami javascript

Największe przeglądarki internetowe już blokują skrypty przesyłane bez szyfrowania. Od początku 2020 roku to samo ma dotyczyć grafik na stronach.

Jakie mogą być skutki takiej blokady?

W wielu przypadkach skutki nie są poważne, po prostu pojawia się ikonka w pasku adresu że strona zawiera niebezpieczne zasoby i znika nam pewna funkcjonalność z serwisu lub kilka obrazków. Zdarza się jednak, że zablokowane są zasoby istotne dla funkcjonowania całego serwisu:

Jak widać z powyższej tabelki, poza skutkami związanymi ze zniknięciem części contentu czy funkcjonalności strony, serwisy mogą utracić dane analityczne lub nawet wpływy z reklam, ponieważ na kilkuset stronach udało się nam znaleźć źle podłączone skrypty reklamowe. W co najmniej 300 przypadkach pojawił się też problem alertów odpowiadających za informowanie użytkowników o polityce cookies, które przestaną działać w nowych wersjach Chrome.

Informacje o problemach związanych ze stroną mogą być dobrą kartą przetargową przy zdobywaniu nowych klientów. Jeżeli już na podstawie prostego audytu potrafisz wskazać co ze stroną jest nie tak, to łatwiej jest zaprezentować się przed potencjalnym klientem jako profesjonalista. Co daje lepszy punkt zaczepienia, żeby zaproponować swoje usługi. Szczególnie jeżeli dotyczy to problemów takich jak znikająca część strony przy mixed content, czy brak szyfrowania. 

Wykrywanie błędów

Przeglądarki internetowe informują o blokowanych skryptach przez wyświetlenie tarczy w pasku adresu. Przykład z Chrome wygląda następująco:

Ręczne sprawdzenie wszystkich podstron może być uciążliwe, dlatego warto wykorzystać do analizy Pulno, które wygeneruje raport dotyczący wszystkich podstron wraz z błędnymi linkami.

Komunikat wyświetlany przy zasobach (JavaScript, CSS itp.) przesyłanych bez szyfrowania

Komunikat wyświetlany przy grafikach przesyłanych bez szyfrowania.

Wykorzystanie https

55% serwisów internetowych wykorzystuje protokół https.

Ponad 83% użytkowników Chrome na platformie Windows wczytuje strony wykorzystujące https.

Coraz więcej serwisów internetowych migruje do ruchu szyfrowanego. Pamiętajmy, aby sprawdzić czy po migracji nie został mixed content. W najlepszym wypadku kilka grafik nie wyświetli się na stronie, ale może zdarzyć się, że ważne skrypty przestaną działać, a nawet, że strona przestanie przynosić przychody z reklam.