Como ativar o bloqueio de conteúdo inseguro no Chromium Edge

O navegador Microsoft Edge baseado em Chromium, anunciado pela Microsoft em 2018, aproximou-se da versão final quando a empresa publicou um release candidate. Enquanto isso, a equipe adicionou um recurso novo no canal Canary: o bloqueio de conteúdo inseguro.

Bloqueio de conteúdo inseguro é uma permissão de site que impede que recursos potencialmente não seguros (HTTP) sejam carregados em páginas servidas por HTTPS. Com essa proteção, o navegador ajuda a manter o tráfego seguro e reduz o risco de coleta de dados não encriptada, scripts inseguros e misturas de conteúdo que quebram a garantia de confidencialidade.

Importante: o recurso descrito está disponível apenas no canal Canary do Chromium Edge. Para obtê-lo, visite a página dos canais do MS Edge Insider e baixe o Canary usando o botão Download para o Canal Canary.

O que o bloqueio faz (breve definição)

Bloqueio de conteúdo inseguro: impede que recursos HTTP (imagens, scripts, iframes) sejam carregados em páginas HTTPS. Resultado: a página carrega apenas conteúdos entregues via HTTPS ou pede permissão por site.

Pré-requisitos

• Ter o Windows 10 (ou outro sistema compatível) com o Chromium Edge Canary instalado.
• Conexão com a internet para baixar/atualizar o Canary.

Passo a passo: ativar o bloqueio pelo flags

1. Abra o Chromium Edge Canary.
2. No campo de endereço, digite edge://flags e pressione Enter.
3. Na página de flags, procure por Blockable mixed content switch as site (use a busca da página para facilitar).
4. Ao encontrar a opção, selecione Enabled (Habilitado).
5. Reinicie o Edge para que a configuração entre em vigor.

edge://flags → procurar "Blockable mixed content switch as site" → Enabled → Reiniciar

Após reiniciar, o recurso ficará ativo para todo o navegador. Você também pode aplicar um controle mais granular por site.

Como ajustar permissões por site

1. Abra a página desejada no Edge.
2. Clique no ícone de cadeado à esquerda da barra de endereços.
3. Selecione Site permissions (Permissões do site).
4. Localize a opção relacionada a conteúdo inseguro e escolha a ação desejada (Bloquear, Perguntar, Permitir).

Quando isso pode falhar (contracases)

• Sites legados que ainda servem imagens ou scripts via HTTP podem quebrar visualmente ou perder funcionalidades quando o bloqueio estiver ativo.
• Ferramentas internas corporativas que dependem de recursos não criptografados exigirão exceções por site.
• Se o desenvolvedor do site fizer configurações mistas (assets externos), o bloqueio pode impedir componentes essenciais.

Solução: use a permissão por site para criar exceções temporárias ou contate o administrador do site para migrar recursos para HTTPS.

Abordagens alternativas

• Usar extensões que forcem HTTPS (ex.: HTTPS Everywhere histórico) — atenção: extensões não substituem uma política de conteúdo inseguro nativa.
• Configurar proxies ou gateways que reescrevam requisições para HTTPS (solução corporativa).
• Validar e corrigir o site migrando todos os recursos para HTTPS (melhor prática a longo prazo).

Mini-metodologia de teste (como validar que funciona)

1. Abra o DevTools (F12) e vá para a aba Network.
2. Carregue a página com recursos HTTP e verifique se requisições HTTP são bloqueadas ou reprovadas.
3. Tente alternar a permissão por site e observe o comportamento.
4. Teste em vários sites (públicos e internos) para avaliar impacto funcional.

Checklist por função

• Usuário final:

  • Atualizar para Chromium Edge Canary.
  • Habilitar a flag em edge://flags.
  • Testar páginas críticas e criar exceções quando necessário.

• Administrador de TI:

  • Verificar compatibilidade de aplicações internas.
  • Documentar exceções e criar política de segurança.
  • Planejar migração dos recursos HTTP para HTTPS.

• Desenvolvedor web:

  • Auditar fontes externas (CDNs, scripts, imagens).
  • Atualizar URLs para HTTPS e implementar Content Security Policy (CSP).

Impacto na privacidade e segurança

Bloquear conteúdo inseguro reduz o risco de exposição de dados em requisições não cifradas. Isso melhora confidencialidade e integridade da sessão do usuário. No contexto de GDPR e outras regras de proteção de dados, forçar HTTPS ajuda a diminuir a superfície de ataque e a exposição de informações pessoais.

Nota: bloquear conteúdo inseguro não substitui HTTPS completo no servidor nem práticas robustas de privacidade.

Maturidade e recomendações

• Nível inicial: habilitar a flag apenas em dispositivos de teste.
• Nível operacional: implantar em estações de trabalho com monitoramento de quebras de site.
• Nível maduro: políticas corporativas que proíbam conteúdo misto e migração completa para HTTPS.

Exemplo de SOP (playbook rápido)

1. Teste a flag em um grupo piloto (10–50 usuários).
2. Colete erros e sites quebrados por 7 dias.
3. Classifique os problemas por prioridade e contate proprietários dos sites.
4. Aplicar exceções temporárias enquanto os sites migram para HTTPS.
5. Revisar após migração e remover exceções.

Glossário rápido (1 linha cada)

• HTTPS: protocolo HTTP sobre TLS/SSL — adiciona encriptação.
• Conteúdo misto: mistura de recursos HTTP em uma página HTTPS.
• Canary: canal de lançamento com builds experimentais e recursos em teste.

Fatos rápidos

• Versão alvo: recurso disponível no canal Canary do Chromium Edge.
• Lançamento público do Chromium Edge (histórico): 15 de janeiro de 2020.
• Plataformas anunciadas: Windows 10, 8.1, 8, 7 e macOS (conforme anúncio).

Conclusão

Ativar o bloqueio de conteúdo inseguro no Chromium Edge melhora a segurança do navegador e reduz riscos associados a recursos não criptografados. Teste em ambientes controlados primeiro, crie exceções apenas quando necessário e pressione proprietários de sites a migrar totalmente para HTTPS.

Leituras relacionadas

• How to enable Clear Browsing Data on Exit in Chromium Edge
• Follow these steps to change Chromium Edge themes manually
• How to use Picture in Picture mode in Chromium Edge

Observação: as URLs e os nomes de opções exibidos no navegador podem variar conforme a versão do Canary. Sempre confirme a opção exata em edge://flags antes de aplicar mudanças.