"Ta witryna zawiera niezabezpieczoną treść" "wyświetlana jest tylko zawartość zabezpieczona;" "Firefox zablokował treści, które nie są bezpieczne." Czasami napotkasz te ostrzeżenia podczas przeglądania sieci, ale co dokładnie one oznaczają?
Istnieją dwa typy treści mieszanych - jedna jest gorsza od drugiej, ale żadna nie jest dobra. Ostrzeżenia dotyczące mieszanych treści wskazują, że coś jest nie tak z odwiedzaną stroną internetową.
Wszystko sprowadza się do różnicy między HTTP i HTTPS. HTTP jest najczęściej używanym typem połączenia - podczas odwiedzania witryny za pomocą protokołu HTTP połączenie z witryną nie jest zabezpieczone. Każdy, kto podsłuchuje ruch, może zobaczyć stronę, którą oglądasz i wszelkie przesyłane dane.
Właśnie dlatego mamy HTTPS, który jest dosłownie "bezpieczny HTTP". HTTPS tworzy bezpieczne połączenie między Tobą a serwerem internetowym. Połączenie jest szyfrowane i uwierzytelniane, więc nikt nie może podsłuchiwać Twojego ruchu i masz pewność, że jesteś podłączony do właściwej witryny. Jest to niezwykle ważne dla zabezpieczenia haseł do kont i danych płatności online, dzięki czemu nikt nie może ich podsłuchiwać.
Ostrzeżenia o treści mieszanej wskazują na problem ze stroną internetową, do której uzyskujesz dostęp przez HTTPS. Połączenie HTTPS powinno być bezpieczne, ale kod źródłowy strony internetowej przyciąga inne zasoby za pomocą niezabezpieczonego protokołu HTTP, a nie HTTPS. Pasek adresu przeglądarki internetowej oznacza, że masz połączenie z HTTPS, ale strona ładuje również zasoby w niezabezpieczonym protokole HTTP w tle. Aby upewnić się, że strona internetowa, której używasz, nie jest całkowicie bezpieczna, przeglądarki wyświetlają ostrzeżenie informujące, że strona zawiera zarówno HTTPS, jak i treść HTTP - innymi słowy treści mieszane.
Oto dlaczego jest to naprawdę niebezpieczne. Załóżmy, że jesteś na stronie płatności i masz zamiar wpisać numer karty kredytowej. Strona płatności wskazuje, że jest to zaszyfrowane połączenie HTTPS, ale pojawia się ostrzeżenie o treści mieszanej. Powinno to spowodować podniesienie czerwonej flagi. Możliwe, że podane szczegóły płatności mogą zostać przechwycone przez niezabezpieczoną treść i wysłane przez niezabezpieczone połączenie, co eliminuje korzyści płynące z zabezpieczeń HTTPS - ktoś może podsłuchać i zobaczyć poufne dane.
Ponieważ HTTP nie uwierzytelnia serwera WWW w taki sam sposób, jak robi to HTTPS, możliwe jest również, że bezpieczna strona HTTPS pobierająca skrypt z witryny HTTP może zostać oszukana w celu pobrania skryptu atakującego i uruchomienia go w bezpiecznej witrynie. Gdy używany jest protokół HTTPS, masz więcej zapewnień, że treść nie została naruszona i jest uzasadniona.
W obu przypadkach eliminuje to korzyści związane z bezpiecznym połączeniem HTTPS. Możliwe, że strona internetowa zawiera ostrzeżenie o niebezpiecznej treści i nadal zabezpiecza twoje dane osobowe, ale naprawdę nie wiemy na pewno i nie powinniśmy ryzykować - dlatego przeglądarki internetowe ostrzegają, gdy natkniesz się na stronę, która nie jest poprawnie zakodowane.
W rzeczywistości istnieją dwa rodzaje treści mieszanych. Bardziej niebezpiecznym jest "mieszana aktywna zawartość" lub "mieszane skrypty". Dzieje się tak, gdy strona HTTPS ładuje plik skryptu przez HTTP. Plik skryptu może uruchomić dowolny kod na żądanej stronie, więc załadowanie skryptu przez niezabezpieczone połączenie całkowicie niszczy bezpieczeństwo bieżącej strony. Przeglądarki internetowe całkowicie blokują ten rodzaj mieszanej zawartości.
Drugi typ to "mieszana zawartość pasywna" lub "mieszana treść wyświetlana". Dzieje się tak, gdy witryna HTTPS ładuje coś podobnego do obrazu lub pliku audio przez połączenie HTTP. Tego typu treści nie mogą zrujnować bezpieczeństwa strony w ten sam sposób, więc przeglądarki internetowe nie reagują tak ostro. Jednak nadal jest to zła praktyka bezpieczeństwa, która może powodować problemy. Na przykład osoba atakująca może zastąpić obraz wprowadzającym w błąd obrazem, manipulując teoretycznie bezpieczną stroną. Żądanie dotyczące ładowania obrazu zawiera również nagłówki zawierające informacje o plikach cookie powiązane z witryną internetową, więc nawet ładowanie obrazu przez niepewne połączenie może powodować problemy. Przeglądarki internetowe często wyświetlają ikonę lub komunikat ostrzegawczy zamiast całkowicie blokować zawartość, ponieważ tego typu mieszane treści są wciąż tak powszechne na prawdziwych stronach internetowych. W Chrome zobaczysz kłódkę z żółtym trójkątem.
Przeglądarki internetowe domyślnie blokują najbardziej niebezpieczne typy mieszanych treści. Nie odblokuj go. Jeśli nie możesz zalogować się na stronie internetowej lub podać szczegółów płatności online bez ładowania mieszanych treści, powinieneś opuścić witrynę i nie wprowadzać swoich danych do niezabezpieczonej strony internetowej. Niech właściciele witryn wiedzą, że ich strona jest niezabezpieczona i zepsuta.
Jeśli zobaczysz ostrzeżenie, że strona zawiera inne zasoby, które mogą nie być bezpieczne, prawdopodobnie bezpiecznie będzie się zalogować. To nie jest dobry znak, jeśli strona tak ważna jak Twój bank ma ten problem, ale ten typ ostrzeżenia o treści mieszanej jest bardzo powszechny.
Z drugiej strony, ostrzeżenia o treści mieszanej nie są zbyt wielkim problemem, jeśli korzystasz z witryny, która nie wymaga HTTPS. Wszystkie ostrzeżenia o treści mieszanej oznaczają, że strona internetowa może korzystać z zabezpieczeń HTTPS - innymi słowy, w najgorszym przypadku strona internetowa, którą odwiedzasz, jest tak samo niebezpieczna jak standardowa witryna HTTP. Jeśli więc korzystasz z witryny takiej jak Wikipedia, aby przeczytać niektóre artykuły i zobaczysz ostrzeżenie o mieszanych treściach, nie powinieneś zbytnio się o to troszczyć. W najgorszym przypadku jest tak samo niepewny, jak gdybyś czytał artykuły na Wikipedii przez standardowe połączenie HTTP, co i tak nie przysporzyłoby Ci żadnych problemów.
Ten błąd będzie widoczny tylko wtedy, gdy wystąpi problem ze sposobem kodowania strony internetowej. Jeśli strona internetowa jest obsługiwana przez HTTPS, powinna również używać protokołu HTTPS do pobierania plików skryptów i innych treści, których wymaga. Twórcy stron internetowych powinni testować swoje strony internetowe, upewniając się, że nie wywołują one przerażających ostrzeżeń w przeglądarkach użytkowników. Jeśli jesteś użytkownikiem, naprawdę nic nie możesz z tym zrobić - to właściciel witryny musi to naprawić.
Jeśli jesteś programistą internetowym, musisz tylko upewnić się, że strony HTTPS ładują zawartość z adresów URL HTTPS, a nie adresów URL HTTP. Jednym ze sposobów na to jest to, że cała twoja witryna działa tylko przez SSL, więc wszystko po prostu używa HTTPS.
Jeśli chcesz utworzyć stronę, która może być wyświetlana za pośrednictwem protokołu HTTP lub HTTPS i robi to automatycznie, możesz użyć "protokołu względnych adresów URL", aby przeglądarka użytkownika automatycznie wybierała HTTP lub HTTPS, zależnie od tego, który protokół jest używany. połączony z. Na przykład wyglądałby względny URL protokołu, aby załadować obraz Przeglądarki internetowe automatycznie blokują treści mieszane lub swoją ochronę, i właśnie dlatego. Jeśli potrzebujesz bezpiecznej witryny, która nie działa poprawnie, chyba że włączysz mieszaną zawartość, właściciel witryny powinien to naprawić.
