23Aug
"Ова страница садржи несигуран садржај;" "приказан је само сигурносни садржај;" "Фирефок је блокирао садржај који није сигуран". Повремено ћете наићи на ова упозорења док претражујете на вебу, али шта тачно подразумевају?
Постоје две врсте мешовитог садржаја - један је гори од другог, али ни један није добар.Упозорења о мешовитом садржају указују на то да нешто није у реду са веб страницом коју посјећујете.
Шта је мјешовити садржај?
Све се своди на разлику између ХТТП-а и ХТТПС-а.ХТТП је најчешће кориштена врста везе - када посјетите веб локацију користећи ХТТП протокол, ваша веза са веб-локацијом није осигурана.Свако ко прислушкује саобраћај може видети страницу коју гледате и било који податак који шаљеш напред и назад.
Зато имамо ХТТПС, који је буквално "ХТТП Сецуре". ХТТПС ствара сигурну везу између вас и веб сервера.Веза је шифрована и аутентификована, тако да нико не може сноопирати у вашем саобраћају и имате одређену сигурност да сте повезани на исправну веб локацију.Ово је изузетно важно за обезбеђивање лозинки за рачун и податке о плаћању путем интернета, обезбеђујући да их нико не може прислушкивати.
Упозорења о мешовитом садржају указују на проблем са веб страницом којој приступате преко ХТТПС-а.ХТТПС веза мора бити сигурна, али изворни код веб странице повлачи друге ресурсе са несигурним ХТТП протоколом, а не ХТТПС-ом.Адресарска трака вашег веб претраживача ће вам рећи да сте повезани са ХТТПС-ом, али ова страница такође убацује ресурсе са несигурним ХТТП протоколом у позадини.Да бисте били сигурни да знате да веб страница коју користите није потпуно сигурна, претраживачи приказују упозорење говорећи да страница има и ХТТПС и ХТТП садржај - мјешовити садржај, другим ријечима.
Зашто је ово опасно
Ево зашто је ово заправо опасно.Рецимо да сте на платној страници и уписали сте број своје кредитне картице.Страна са плаћањем означава да је то шифрована ХТТПС веза, али видите упозорење о мешовитом садржају.Ово би требало да подигне црвену заставу.Могуће је да детаљи о плаћању које унесете могу да буду ухваћени у небезбедном садржају и послани преко небезбедне везе, уклањајући предност ХТТПС сигурности - неко би могао прислушкивати и видети ваше осетљиве податке.
Пошто ХТТП не провјерава аутентичност веб сервера на исти начин како ХТТПС ради, могуће је и да сигурно ХТТПС-ово подручје увлачи скрипту са ХТТП-локације може се преварити тиме што ће извући скрипту нападача и покренути га на иначе сигурном мјесту.Када се користи ХТТПС, ви имате више гаранција да садржај није измењен и легитиман.
У оба случаја, ово елиминише корист од сигурне ХТТПС везе.Могуће је да веб страница може имати небезбедно упозорење о садржају и да ли и даље обезбеђује ваше личне податке, али ми стварно не знамо сигурно и не би требало да ризикујемо - зато вас веб прегледачи упозоравају када налазите на неком веб сајту које нијекодирано правилно.
Мешани активни садржај наспрам мешаног пасивног садржаја
Постоје заправо две врсте мешовитог садржаја.Опаснији је "мешани активни садржај" или "мешано скриптовање." Ово се дешава када ХТТПС сајт учитава скрипту преко ХТТП-а.Датотека скрипта може покренути било који код на страници коју жели, па учитавање скрипте преко несигурне везе потпуно уништава сигурност тренутне странице.Веб прегледници углавном блокирају ову врсту мешовитог садржаја у потпуности.
Други тип је "мешани пасивни садржај" или "мешани садржај приказа." Ово се дешава када ХТТПС сајт учитава нешто попут слике или аудио датотеке преко ХТТП везе.Ова врста садржаја не може уништити сигурност странице на исти начин, тако да веб прегледачи не реагују као оштро.Међутим, и даље је лоша безбедносна пракса која може изазвати проблеме.Напримјер, нападач може заменити слику са погрешном сликом, мијењати теоретски сигурном страницом.Захтев за учитавање слике такође садржи заглавља који садрже информације о колачићима повезаним са веб локацијом, па чак и учитавање слике преко несигурне везе може изазвати проблеме.Веб прегледачи често приказују икону упозорења или поруке умјесто да блокирају садржај у потпуности, јер је ова врста мјешовитог садржаја и даље тако честа на правим веб страницама.У Цхроме-у видећете катанац са жутим троуглом.
Шта учинити када видите мешани садржај Упозорење
Веб претраживачи обично блокирају најопасније врсте мешовитог садржаја по подразумеваној вредности.Немојте га одблокирати.Ако не можете да се пријавите на веб локацију или унесете детаље плаћања без учитавања мешовитог садржаја, требало би да напустите веб локацију и не унесете своје податке на незаштићену веб локацију.Нека власници веб сајта знају да је њихова локација несигурна и сломљена.
Ако видите упозорење да страница садржи друге ресурсе који можда нису сигурни, вероватно је сигурно и да се пријавите.То није добар знак да је веб локација важна као ваша банка, али овај тип мешања садржаја упозорења је врло чест.
Са друге стране, мешовита упозорења за садржај нису стварно велика ствар ако приступате веб локацији којој није потребан ХТТПС.Сва упозорења о мешовитом садржају значи да веб страница гарантује да ће имати користи од ХТТПС сигурности - другим ријечима, у најгорем случају, веб страница коју посјећујете је небезбедна као стандардна ХТТП страница.Дакле, ако сте приступили веб локацији попут Википедије само да бисте прочитали неке чланке и видели сте упозорење о мешовитом садржају, не бисте требали превише бринути о томе.У најгорем случају, то је исто тако несигурно као да читате чланке на Википедији преко стандардне ХТТП везе, за коју ипак немате проблем.
Зашто неке веб странице имају овај проблем
Ова грешка ћете видети само ако постоји проблем са начином кодирања веб странице.Ако се веб страница обавља преко ХТТПС-а, она такође треба да користи ХТТПС протокол за повлачење датотека скрипте и другог садржаја који је потребан.Веб програмери требају тестирати своје веб странице, осигуравајући да не изазивају застрашујуће упозорења у претраживачима корисника.Ако сте корисник, заиста не можете учинити ништа у вези са овим - власнику веб сајта је да га поправи.
Ако сте веб програмер, све што треба да урадите је да обезбедите ХТТПС странице за учитавање садржаја са ХТТПС УРЛ-ова, а не ХТТП УРЛ-ова.Један од начина да то урадите је да ваш целокупан веб сајт функционише само преко ССЛ-а, тако да све једноставно користи ХТТПС.
Ако желите да направите страницу која се може сервирати преко ХТТП-а или ХТТПС-а и аутоматски изврши исправну ствар, можете користити "релативне УРЛ адресе протокола" да би кориснички претраживач аутоматски изабрао ХТТП или ХТТПС по потреби, у зависности од којих протокола корисникје повезан са.На пример, релативна УРЛ адреса за учитавање слике би изгледала као & лт; имг срц = "//example.com/ имаге.пнг" & гт;.Претраживач ће аутоматски додати или хттп: или хттпс: до почетка УРЛ-а, у зависности од тога шта је прикладно.Наравно, мораћете да обезбедите да сајт на који повезујете нуди ресурс преко ХТТП-а и ХТТПС-а.
Веб прегледници аутоматски блокирају мешовите садржаје или вашу заштиту, и то је разлог зашто.Ако је потребно да користите заштићену веб локацију која не ради исправно, осим ако не омогућавате мешовити садржај, власник веб странице то мора поправити.