Innholdet og ressursene på weben leveres via en salig blanding av sikre og usikre forbindelser (HTTP og HTTPS). Stort sett er dette temmelig problemfritt – det blir et problem dersom en sikker webside laster usikre ressurser, fordi de usikre ressursene kan lese det sikre innholdet og sende det tilbake til en server via en ikke-kryptert forbindelse.
Dette er ikke noe nytt problem, og de fleste av nettleserleverandørene har gjennom årene og på egenhånd kommet med funksjonalitet som tar seg av dette, enten ved å advare brukerne om slik blandet innhold («mixed content»), å blokkere det usikre innholdet helt, eller å gi brukeren en mulighet til å velge selv hvordan slikt blandet innhold skal håndteres i hvert enkelt tilfelle. Internet Explorer 4 var trolig den første nettleseren som fikk slik funksjonalitet da den ble gitt ut i 1997, mens Firefox 23 så sent som i august 2013 innførte blokkering av «Mixed Active Content».
Noen felles spesifikasjon for hvordan og hvorfor nettlesere nekter å gjengi og kjøre innhold lastet via usikre eller ikke-autentiserte forbindelser i konteksten til et kryptert og autentisert dokument, finnes derimot ikke. Men et arbeid for å få på plass dette har startet, og et første utkast til en slik spesifikasjon ble publisert av W3C denne uken.
I spesifikasjonsutkastet understrekes det at ingenting av det som presenteres er helt nytt, men at alt allerede støttes av én eller flere nettlesere. Hensikten med spesifikasjonen vil derfor først og fremst være å få en felles og formell definisjon for hva som er blandet innhold og i hvilke tilfeller innhold bør blokkeres. Jobben til webutviklere blir utvilsomt enklere dersom nettleserne behandler webinnholdet i henhold til felles standarder.
Leave a Reply