Home > Blog > Info > Chrome bloquea el contenido mixto: ¿qué impacto tiene?
Google Chrome ya bloqueaba algunos tipos de contenido mixto en internet. Desde hace poco, este gigante de la red ha anunciado que tomaría medidas que consideran más serias: a partir de finales de 2019 y principios de 2020 y a partir de sus versiones 79, 80 y 81, Chrome bloqueará poco a poco todas las páginas que integren este contenido mixto por defecto. Veamos qué significa esto.
¿Qué es el contenido mixto?
El universo de internet es cada vez más seguro. Si te conectas a un (antiguo) sitio HTTP sin cifrado, Google Chrome te avisará de que es un sitio no seguro. Si navegas actualmente con Chrome, puedes echar un vistazo a la url de esta página (segura) y verás que incluso esconde el indicador “https://” por defecto. En efecto, ahora los sitios simplemente tienen que ser seguros por defecto (el nuevo protocolo http/3 tendrá un encriptamiento integrado).
Sin embargo, ciertas páginas no pueden ser ni HTTP ni HTTPS del todo. Así es, algunas se muestran efectivamente vía una conexión HTTPS (conexión segura), pero pueden integrar scripts, imágenes, iframes o cualquier otro componente que se transmita a través de una conexión HTTP (conexión no cifrada).
¿Por qué Chrome ha puesto en la diana al contenido mixto?
Un contenido mixto corresponde de este modo a una página cargada a través del protocolo HTTPS y que contenga elementos servidos por un protocolo HTTP. Entonces no son páginas totalmente seguras porque los elementos vía HTTP pueden haber sido falsificados.
El contenido mixto es confuso, con el acceso a un sitio web a veces seguro y a veces no. Por ejemplo, te puedes fiar de una página que generalmente es segura pero que extrae un archivo JavaScript vía HTTP. En el momento en el que te conectes a una WiFi pública, este JavaScript puede ser modificado… y eso es un verdadero drama.
Se trata entonces de un verdadero fallo de seguridad. Nos podemos preguntar de manera legítima por qué las webs, en el momento en el que se pasaron a HTTPS, no hicieron lo propio con el conjunto de sus recursos. Ese es el punto débil.
En efecto, estos sitios pueden depender de contenidos en third party, principalmente para trackear sus datos, que no pueden ser servidos en HTTPS. En pocas palabras, esto se va a tener que acabar. Van a tener que limpiar todo eso y hacerlo evolucionar hacia mejores estándares si quieren que sus páginas continúen mostrándose por defecto.
¿Cuáles son los impactos para los anunciantes?
Chrome ya bloquea ciertos scripts e iframes. En sus próximas versiones, el gigante bloqueará los contenidos mixtos de audio y video. Las imágenes mixtas, en un primer momento, se cargarán con un mensaje de alerta y luego se bloquearán totalmente con Chrome 81. Evidentemente, el usuario podrá autorizar el contenido mixto, pero esto requerirá una acción por su parte (no será por defecto).
Aprovechamos para recordar que Chrome está lejos de ser el único en tomar medidas. Se puede citar también a Firefox, que bloquea los contenidos mixtos como los scripts e iframes, pero también a Safari y a Edge, basado en Chromium.
La colecta first party
De este modo, para los anunciantes que no procedan a una colecta 1st party (como lleva Eulerian permitiendo a sus clientes desde hace más de 15 años) con cookies instaladas y tratadas íntegramente en HTTPS gracias a un subdominio delegado, las cosas van a empezar a ponerse extremadamente difícil.
Son numerosos los que recopilan sus datos gracias a “falsas” cookies first party, un JavaScript instalado en el dominio del sitio (mientras que el JavaScript proviene de otro dominio). Con este método ya tenían que hacer frente a la limitación de la duración del seguimiento al usuario de 24 horas en Safari con el ITP 2.2. Ahora, su colecta sencillamente se va a bloquear en Chrome. Esto podría ser muy incómodo para ellos. No hay colecta = no hay datos, no se puede elegir el target, no hay personalización, nada de estadísticas, ninguna ventaja.
Efectivamente, proceder a una recopilación first party, como lo hace Eulerian, puede suponer algo más de esfuerzo al principio para los anunciantes: a nivel del setup y de la confianza (no en vano, hace falta acordar un subdominio delegado). Y sí, la confianza hay que ganársela. Aunque si tantos clientes nos la dan es que nos hemos empleado desde el principio en hacer bien las cosas. Todas las evoluciones actuales nos confirman que hemos tenido razón.