Що ж таке попередження про змішаний вміст?
"Цей сайт має небезпечний зміст;" "відображається лише безпечний вміст;" "Firefox має заблокований вміст, який не є безпечним." Ви іноді зустрічаєте ці попередження під час перегляду веб-сторінок, але що саме вони означають?
Існує два типи змішаного змісту - один гірше, ніж інший, але не добре. Попередження змішаного вмісту вказують на те, що щось не так з веб-сторінкою, яку ви відвідуєте.
Що таке змішаний вміст?
Все це зводиться до різниці між HTTP і HTTPS. HTTP - це найбільш часто використовуваний тип підключення - коли ви відвідуєте веб-сайт за допомогою протоколу HTTP, підключення до веб-сайту не захищено. Будь-хто, хто підслуховує трафік, може переглядати сторінку, яку ви переглядаєте, і всі дані, які ви надсилаєте.
Ось чому ми маємо HTTPS, який буквально «HTTP Secure». HTTPS створює безпечне з'єднання між вами і веб-сервером. З'єднання зашифровано та аутентифіковане, тому ніхто не може перехопити ваш трафік, і у вас є певна впевненість, що ви підключені до правильного веб-сайту. Це надзвичайно важливо для забезпечення паролів облікових записів та даних онлайн-платежів, гарантуючи, що ніхто не може їх прослуховувати.
Попередження щодо змішаного вмісту вказують на проблему з веб-сторінкою, на яку ви отримуєте доступ через HTTPS. З'єднання HTTPS має бути захищеним, але вихідний код веб-сторінки забирає інші ресурси з небезпечним протоколом HTTP, а не HTTPS. У адресному рядку веб-переглядача буде вказано, що ви підключені до HTTPS, але на сторінці також завантажуються ресурси з небезпечним протоколом HTTP у фоновому режимі. Щоб переконатися, що веб-сторінка, яку ви використовуєте, не є повністю безпечною, переглядачі показують попередження про те, що на сторінці є вміст HTTPS і HTTP - змішаний вміст, іншими словами.
Чому це небезпечно
Ось чому це насправді небезпечно. Припустимо, ви перебуваєте на сторінці оплати, і ви збираєтеся ввести номер своєї кредитної картки. Сторінка оплати вказує на зашифроване з'єднання HTTPS, але ви бачите попередження змішаного вмісту. Це повинно підняти червоний прапор. Можливо, що введені платіжні реквізити можуть бути захоплені незахищеним вмістом і надіслані через небезпечне з'єднання, що виключає безпеку HTTPS - хтось може підслуховувати і переглядати ваші конфіденційні дані.
Оскільки HTTP не аутентифікує веб-сервер так само, як це робить HTTPS, можливо також, що захищений сайт HTTPS, який витягує скрипт з HTTP-сайту, може бути підроблений, щоб витягти сценарій зловмисника і запустити його на іншому безпечному сайті. При використанні HTTPS ви маєте більше гарантій, що зміст не змінюється і є законним.
В обох випадках це виключає перевагу безпечного з'єднання HTTPS. Можливо, що веб-сайт міг би мати небезпечне попередження щодо вмісту та все ще належним чином захистити ваші особисті дані, але ми дійсно не знаємо напевно і не ризикуємо - саме тому веб-переглядачі попереджають вас, коли ви стикаєтеся з веб-сайтом. правильно.
Змішаний активний вміст порівняно зі змішаним пасивним вмістом
Насправді існує два типи змішаного змісту. Більш небезпечним є "змішаний активний вміст" або "змішаний сценарій". Це відбувається, коли сайт HTTPS завантажує файл сценарію через HTTP. Файл сценарію може запускати будь-який код на сторінці, яку він хоче, тому завантаження сценарію через небезпечне з'єднання повністю руйнує безпеку поточної сторінки. Веб-браузери зазвичай повністю блокують цей тип змішаного вмісту.
Другий тип - "змішаний пасивний вміст" або "змішаний вміст дисплея". Це відбувається, коли сайт HTTPS завантажує щось на зразок зображення або аудіофайлу через з'єднання HTTP. Цей тип контенту не може зіпсувати безпеку сторінки так само, тому веб-браузери не реагують так жорстко. Тим не менш, це все ще погана практика безпеки, яка може викликати проблеми. Наприклад, зловмисник може замінити зображення обманним зображенням, втручаючись у теоретично захищену сторінку. Запит на завантаження зображення також містить заголовки, які містять інформацію про файли cookie, пов'язану з веб-сайтом, тому навіть завантаження зображення через небезпечне з'єднання може викликати проблеми. Веб-браузери часто показують піктограму попередження або повідомлення, а не повністю блокують вміст, оскільки цей тип змішаного вмісту все ще настільки поширений на реальних веб-сайтах. У Chrome ви побачите замок із жовтим трикутником.
Що робити, коли ви бачите змішане попередження про вміст
Зазвичай веб-браузери блокують найбільш небезпечні типи змішаного вмісту. Не розблокуйте його. Якщо ви не можете увійти на веб-сайт або ввести реквізити без оплати змішаного вмісту, потрібно просто залишити веб-сайт і не вводити інформацію на незахищений веб-сайт. Нехай власники веб-сайтів знають, що їхній сайт незахищений і порушений.
Якщо ви бачите попередження про те, що сторінка містить інші ресурси, які можуть не бути захищеними, то, ймовірно, безпечно ввійти в систему. Це не дуже гарна ознака, якщо веб-сайт так важливий, як і ваш банк, але такий тип попередження змішаного вмісту дуже поширений.
З іншого боку, попередження змішаного вмісту не дуже важливі, якщо ви звертаєтеся до веб-сайту, який не потребує HTTPS. Всі засоби попередження змішаного вмісту полягають у тому, що веб-сторінка гарантовано виграє від безпеки HTTPS - іншими словами, у найгіршому випадку веб-сторінка, яку ви відвідуєте, є небезпечною, як стандартний сайт HTTP. Отже, якщо ви відвідували веб-сайт, наприклад, Вікіпедію, щоб прочитати деякі статті, і ви побачили попередження змішаного змісту, вам не потрібно надто турбуватися про це. У найгіршому випадку це так само небезпечно, як якщо б ви читали статті у Вікіпедії через стандартне підключення HTTP, яке ви б не мали проблеми.
Чому деякі веб-сторінки мають цю проблему
Ця помилка відображатиметься лише в разі виникнення проблеми з кодуванням веб-сторінки. Якщо веб-сторінка подається через HTTPS, вона також повинна використовувати протокол HTTPS для завантаження файлів скриптів та іншого необхідного вмісту. Веб-розробники повинні перевірити свої веб-сторінки, гарантуючи, що вони не викликають страхітливих попереджень у браузерах користувачів. Якщо ви користувач, ви дійсно не можете зробити що-небудь з цього приводу.
Якщо ви веб-розробник, все, що вам потрібно зробити, це забезпечити завантаження сторінок HTTPS з URL-адрес HTTPS, а не URL-адрес HTTP. Один із способів зробити це, зробивши весь веб-сайт робочим тільки над SSL, так що все просто використовує HTTPS.
Якщо ви хочете створити сторінку, яка може обслуговуватися через HTTP або HTTPS і автоматично виконуватиме правильні дії, ви можете скористатися «протоколом відносних URL-адрес», щоб браузер користувача автоматично вибирав HTTP або HTTPS, залежно від того, яким протоколом користується користувач. пов'язані з. Наприклад, протокол відносної URL, щоб завантажити зображення буде виглядати
Веб-браузери автоматично блокують змішаний вміст або ваш захист, і саме тому. Якщо вам потрібно використовувати безпечний веб-сайт, який не працює належним чином, якщо ви не ввімкнули змішаний вміст, власник веб-сайту має його виправити.