Co dokładnie jest ostrzeżeniem o treściach mieszanych?
"Ta witryna zawiera niezabezpieczoną treść" "Wyświetlana jest tylko zawartość zabezpieczona;" "Firefox zablokował treści, które nie są bezpieczne." Od czasu do czasu natkniesz się na te ostrzeżenia podczas przeglądania sieci, ale co dokładnie mają na myśli??
Istnieją dwa typy treści mieszanych - jedna jest gorsza od drugiej, ale żadna nie jest dobra. Ostrzeżenia dotyczące mieszanych treści wskazują, że coś jest nie tak z odwiedzaną stroną internetową.
Co to jest treść mieszana?
Wszystko sprowadza się do różnicy między HTTP i HTTPS. HTTP jest najczęściej używanym typem połączenia - podczas odwiedzania witryny za pomocą protokołu HTTP połączenie z witryną nie jest zabezpieczone. Każdy, kto podsłucha ruch, może zobaczyć stronę, którą oglądasz i wszelkie dane, które wysyłasz.
Właśnie dlatego mamy HTTPS, który jest dosłownie "bezpieczny HTTP". HTTPS tworzy bezpieczne połączenie między Tobą a serwerem internetowym. Połączenie jest szyfrowane i uwierzytelniane, więc nikt nie może podsłuchiwać Twojego ruchu i masz pewność, że jesteś podłączony do właściwej witryny. Jest to niezwykle ważne dla zabezpieczenia haseł do kont i danych płatności online, dzięki czemu nikt nie może ich podsłuchiwać.
Ostrzeżenia o zawartości mieszanej wskazują na problem ze stroną internetową, do której uzyskujesz dostęp przez HTTPS. Połączenie HTTPS powinno być bezpieczne, ale kod źródłowy strony internetowej przyciąga inne zasoby za pomocą niezabezpieczonego protokołu HTTP, a nie HTTPS. Pasek adresu przeglądarki internetowej mówi, że masz połączenie z HTTPS, ale strona ładuje również zasoby w niezabezpieczonym protokole HTTP w tle. Aby upewnić się, że strona internetowa, której używasz, nie jest całkowicie bezpieczna, przeglądarki wyświetlają ostrzeżenie informujące, że strona zawiera zarówno HTTPS, jak i treść HTTP - mieszane treści, innymi słowy.
Dlaczego jest to niebezpieczne
Oto dlaczego jest to naprawdę niebezpieczne. Załóżmy, że jesteś na stronie płatności i masz zamiar wpisać numer karty kredytowej. Strona płatności wskazuje, że jest to zaszyfrowane połączenie HTTPS, ale zobaczysz ostrzeżenie o treści mieszanej. Powinno to spowodować podniesienie czerwonej flagi. Możliwe, że wprowadzone dane dotyczące płatności mogą zostać przechwycone przez niezabezpieczoną treść i wysłane przez niezabezpieczone połączenie, co eliminuje korzyści płynące z zabezpieczeń HTTPS - ktoś może podsłuchać i zobaczyć poufne dane.
Ponieważ HTTP nie uwierzytelnia serwera sieciowego w taki sam sposób, jak robi to HTTPS, możliwe jest również, że bezpieczna strona HTTPS pobierająca skrypt z witryny HTTP może zostać oszukana w celu pobrania skryptu atakującego i uruchomienia go w bezpiecznej witrynie. Gdy używany jest protokół HTTPS, masz więcej zapewnień, że treść nie została zmodyfikowana i jest uzasadniona.
W obu przypadkach eliminuje to korzyści związane z bezpiecznym połączeniem HTTPS. Możliwe, że strona internetowa zawiera ostrzeżenie o niebezpiecznej treści i nadal zabezpiecza twoje dane osobowe, ale naprawdę nie wiemy na pewno i nie powinniśmy ryzykować - dlatego przeglądarki internetowe ostrzegają, gdy natrafisz na stronę, która nie jest poprawnie zakodowane.
Mieszana zawartość aktywna a mieszana zawartość pasywna
W rzeczywistości istnieją dwa rodzaje mieszanych treści. Bardziej niebezpiecznym jest "mieszana aktywna zawartość" lub "mieszane skrypty". Dzieje się tak, gdy strona HTTPS ładuje plik skryptu przez HTTP. Plik skryptu może uruchomić dowolny kod na żądanej stronie, więc ładowanie skryptu przez niezabezpieczone połączenie całkowicie niszczy bezpieczeństwo bieżącej strony. Przeglądarki internetowe całkowicie blokują ten rodzaj mieszanej zawartości.
Drugi typ to "mieszana zawartość pasywna" lub "mieszana treść wyświetlana". Dzieje się tak, gdy witryna HTTPS ładuje coś podobnego do obrazu lub pliku audio przez połączenie HTTP. Tego typu treści nie mogą zrujnować bezpieczeństwa strony w ten sam sposób, więc przeglądarki internetowe nie reagują tak ostro. Jednak nadal jest to zła praktyka bezpieczeństwa, która może powodować problemy. Na przykład osoba atakująca może zastąpić obraz wprowadzającym w błąd obrazem, manipulując teoretycznie bezpieczną stroną. Żądanie dotyczące ładowania obrazu zawiera również nagłówki zawierające informacje o plikach cookie powiązane z witryną internetową, więc nawet ładowanie obrazu przez niezabezpieczone połączenie może powodować problemy. Przeglądarki internetowe często wyświetlają ikonę lub komunikat ostrzegawczy zamiast całkowicie blokować zawartość, ponieważ tego typu mieszane treści są nadal tak powszechne na prawdziwych stronach internetowych. W Chrome zobaczysz kłódkę z żółtym trójkątem.
Co robić, gdy widzisz ostrzeżenie o treści mieszanej
Przeglądarki internetowe domyślnie blokują najgroźniejsze typy treści mieszanych. Nie odblokuj go. Jeśli nie możesz zalogować się na stronie internetowej lub podać szczegółów płatności online bez ładowania mieszanych treści, powinieneś opuścić witrynę i nie wprowadzać swoich danych do niezabezpieczonej strony internetowej. Niech właściciele witryn wiedzą, że ich strona jest niezabezpieczona i zepsuta.
Jeśli zobaczysz ostrzeżenie, że strona zawiera inne zasoby, które mogą nie być bezpieczne, prawdopodobnie bezpiecznie będzie się zalogować. To nie jest dobry znak, jeśli strona tak ważna jak Twój bank ma ten problem, ale ten typ ostrzeżenia o treści mieszanej jest bardzo powszechny.
Z drugiej strony, ostrzeżenia o treści mieszanej nie są zbyt wielkim problemem, jeśli uzyskujesz dostęp do strony internetowej, która nie wymaga HTTPS. Wszystkie ostrzeżenia o treści mieszanej oznaczają, że strona internetowa może korzystać z zabezpieczeń HTTPS - innymi słowy, w najgorszym przypadku strona internetowa, którą odwiedzasz, jest równie niepewna co standardowa witryna HTTP. Tak więc, jeśli korzystałeś z witryny takiej jak Wikipedia, tylko po to, aby przeczytać niektóre artykuły i zobaczyłeś ostrzeżenie o mieszanych treściach, nie powinieneś zbytnio się o to troszczyć. W najgorszym przypadku jest tak samo niepewny, jak gdybyś czytał artykuły na Wikipedii przez standardowe połączenie HTTP, co i tak nie sprawiłoby Ci żadnego problemu.
Dlaczego niektóre strony internetowe mają ten problem
Ten błąd będzie widoczny tylko wtedy, gdy wystąpi problem ze sposobem kodowania strony internetowej. Jeśli strona internetowa jest obsługiwana przez HTTPS, powinna również używać protokołu HTTPS do pobierania plików skryptów i innych treści, których wymaga. Twórcy stron internetowych powinni testować swoje strony internetowe, upewniając się, że nie wywołują przerażających ostrzeżeń w przeglądarkach użytkowników. Jeśli jesteś użytkownikiem, naprawdę nic nie możesz z tym zrobić - to właściciel witryny musi to naprawić.
Jeśli jesteś programistą internetowym, musisz tylko upewnić się, że strony HTTPS ładują zawartość z adresów URL HTTPS, a nie adresów URL HTTP. Jednym ze sposobów jest to, że cała twoja witryna działa tylko przez SSL, więc wszystko po prostu używa HTTPS.
Jeśli chcesz utworzyć stronę, która może być wyświetlana przez HTTP lub HTTPS i robi to, co trzeba automatycznie, możesz użyć "protokołu względnych adresów URL", aby przeglądarka użytkownika automatycznie wybierała HTTP lub HTTPS, zależnie od tego, który protokół jest używany. połączony z. Na przykład może wyglądać względny URL protokołu, aby załadować obraz
Przeglądarki internetowe automatycznie blokują treści mieszane lub swoją ochronę, i właśnie dlatego. Jeśli musisz korzystać z bezpiecznej witryny, która nie działa poprawnie, chyba że włączysz treści mieszane, właściciel witryny powinien to naprawić.