Tak mi po půlnoci dorazil email z Google Search Console Team s upozorněním, že můj web bude v nové verzi Chrome 62 označen štítkem NEZABEZPEČENO. Naštěstí to vyděsí jen lidi, kteří chodí na můj blog v anonymním režimu.
Obsah
Proč dostanete nálepku NEZABEZPEČENO
Tuto nálepku dostane každý web, který neumožňuje prohlížení přes zabezpečený protokol HTTPS a zároveň obsahuje formuláře s políčka input typu text a email.
Předpokládám, že to bude vypadat následovně:
Popravdě to není nic strašného. Upozornění není nijak nápadné, rozhodně žádné velké varování. Spousta lidí si toho ani nevšimne. Navíc předpokládám, že si na to rychle BFU zvyknou, protože to bude všude. Jenomže to budoucna musíme předpokládat, že Google přitvrdí. Nálepka bude více výrazná a možná přibude i to varování. Rozhodně jí také nebude limitovat na anonymní režim.
Můžeme to obejít?
Samozřejmě to můžeme obejít. Stačí odstranit komentáře k článkům. Zmiznou formuláře a Google dá zase na chvilku pokoj. Jenomže tím přijdeme o důležitou zpětnou vazbu. Některé komentáře obsahují více know how než samotný článek :) O to bych nerad přišel.
Takže to můžeme vyřešit nějak jinak. Třeba službou třetí strany jako je Disqus. U té je však problém, že pak komentáře “nevlastníte”. Nemůžete s nimi pracovat a tuším nejsou vidět ani ve vyhledávačích. Horší je také moderování. I když se spamem se prý umí poprat. Ovšem největší nevýhodou je, že jí blokuje třeba Ghostery, což je doplňovaček, který se stává stále oblíbenějším.
Možná to vyřešit nějakou vlastní “třetí stranou” nad kterou máte kontrolu a ta jede na HTTPS. Ovšem to už by bylo lepší možná jednodušší přejít na HTTPS :)
Ještě jeden dodatek. Nedoporučuji jakkoliv formuláře maskovat před Google a ukazovat je jen návštěvníkům. Google by to mohl zařadit mezi black hat seo praktiky (cloaking).
Pozor na hesla!
Pro input typu password platí přísnější pravidla už teď a nevztahují se jen na anonymní režim. Nejpřísněji je hodnotí FireFox, který odmítne formulář předvyplnit a napíše k němu varování, že připojení není zabezpečeno a zadané údaje mohou být vyzrazeny. Navíc se na to vše dá kliknout a dostanete se na nápovědu FireFox.
Takovéto upozornění už dokáže uživatele i vyděsit.
V budoucnu se HTTPS nevyhneme
Dnešním standardem pro internetové stránky je přeci jen HTTPS. Mozzila tvrdila, že polovina stránek, které navštívili jejich uživatelů přes Firefox v říjnu 2017 používala HTTPS. MoZ v únoru 2017 ohlásil, že 45 % webů na první stránce Google má HTTPS a je dost možné, že dnes už to bude přes polovinu.
Tvůrci internetových prohlížečů se tomu přizpůsobují. Rádi ukazují jak je právě ten jejich bezpečný a upozorní na bezpečnostní nedostatky. Postupně jdou dál a dál. Přechod webu na HTTPS tak bude nevyhnutelný. Na druhou stranu dnes už je také standardem HTTP2, který bez HTTPS nefunguje. Díky multiplexing výrazně zrychluje načítání stránek s velkým počtem requestů. Což je snad každá dnešní šablona.
Proc to obchazet a proste neaktivovat HTTPS?
Google se právě už ničemu nepřizpůsobuje, ale začíná silou internet měnit k obrazu svému. Postupně vznikne pár oddělených sítí jako je dnes Facebook, čínské sítě. A internet jak ho známe dnes zmizí.
Proč posílat někomu na stránku návštěvnost, když můžeme jeho obsah prostě ukradnout, jsme nadnárodní beztrestná korporace so stojí nad zákony, případně si je sama tvoří.
Máš na stránce formuláře, používáš nějaký protokol, myslíš si, že je to tvoje věc? Ses zbláznil, to co máš na ty stránce určujeme MY. A protože si malej a slabej tak si s tebou budem dělat s pozice síly co chceme.
Dont be Evil
India leader edition
V case Lets Encrypt nerozumiem preco ho nenasadis rovno – tam nie je co riesit ;) Urcite ten cas co by si sa venoval vyhnutiu uupozornenia skrz ine diskusne platformy by si mohol venovat prechodu a mas vystarane :)
Popravdě se mi do toho nechce. 404M jede už dlouho. Je tu vytvořeno spoustu stránek a dokonce i diskuzní fórum. Pak pevné odkazy na multimédia, dokumenty. Další věci se vkládají z externích HTTP. Tohle všechno bych musel projít, udělat si seznamy a postupně měnit, opravit, případně najít náhradu (první post na 404M je z 27.3.2008, některé části nepočítali s HTTPS). Následně zajistit že bude fungovat každý redirekt. Pak tu je ještě pár technických věcí nad úrovní webu kvůli kterým musím počkat minimálně několik měsíců. Teď by mi přechod na HTTPS doslova složil web.
Blog není eshop, nezadáváte tu žádné osobní informace, není tu kontroverzní obsah za jehož návštěvu byste se měli stydět. Jediný důvod proč přejít na HTTPS u 404M je HTTP2.
Duplikovat, v databazi natvrdo nahradit http za https, v nastaveni wp zmenit http na https, v htaccess dva radky http -> https, analytics, g console a zs 6h neni co delat. :) Nasledne xenu skrz chyby externiho obsahu, ten doladit rucne. Neni se zase tolik ceho bat… Opravdu to neni takova hruza a za tu rychlost to stoji.
Martin, z toho jak naivně přechod popisuješ, je vidět, že buď spravuješ stránku s minimální návštěvností, nebo si jen teoretik.
Případně si měl velké štěstí a ani o tom nevíš.
Jej to se všechno dá přece řešit jedním rádkem v .httacess..