23Aug

Co je to výstraha smíšeného obsahu?

webový prohlížeč - smíšený obsah - upozornění

"Tato stránka obsahuje nejistý obsah;" "zobrazí se pouze zabezpečený obsah;" "Firefox zablokoval obsah, který není bezpečný." Příležitostně narazíte na tato upozornění při prohlížení webu, ale co přesně to znamená?

Existují dva typy smíšeného obsahu - jeden je horší než druhý, ale ani jeden není dobrý.Upozornění na smíšené obsahy naznačují, že na webových stránkách, které navštěvujete, je něco špatně.

Co je to smíšený obsah?

To vše se skládá z rozdílu mezi HTTP a HTTPS.HTTP je nejčastěji používaný typ připojení - při návštěvě webových stránek pomocí protokolu HTTP není připojení k webu zabezpečeno. Každý, kdo odposlouchává návštěvnost, může vidět stránku, kterou prohlížíte, a data, která odesíláte sem a tam.

Proto máme HTTPS, což je doslova "HTTP Secure." HTTPS vytváří zabezpečené spojení mezi vámi a webovým serverem. Spojení je šifrováno a ověřeno, takže nikdo nemůže sledovat vaši návštěvnost a máte jistotu, že jste připojeni k správnému webu. To je nesmírně důležité pro zabezpečení hesel účtu a platebních údajů online, takže nikdo je nemůže odposlouchávat.

Výstrahy smíšeného obsahu označují problém s webovou stránkou, na kterou přistupujete přes HTTPS.Připojení HTTPS by mělo být zabezpečené, ale zdrojový kód webové stránky přitahuje další zdroje s nejistým protokolem HTTP, nikoliv HTTPS.Adresní pruh vašeho webového prohlížeče bude říkat, že jste připojeni k protokolu HTTPS, ale stránka také nakládá na pozadí zdroje s nezabezpečeným protokolem HTTP.Chcete-li vědět, že webová stránka, kterou používáte, není zcela bezpečná, prohlížeče zobrazí varování, že stránka má obsah HTTPS i HTTP - smíšený obsah, jinými slovy.

chrome-this-page-zahrnuje-script-from-un-authenticated-sources

Proč je to nebezpečné

Zde je důvod, proč je to skutečně nebezpečné.Řekněme, že jste na platební stránce a chystáte se zadat číslo kreditní karty. Na stránce plateb se uvádí, že je to šifrované připojení HTTPS, ale vidíte varování o smíšené síti. To by mělo zvýšit červenou vlajku. Je možné, že údaje o platbě, které zadáte, mohly být zachyceny nezabezpečeným obsahem a posílány přes nejisté připojení, čímž se odstraní výhoda zabezpečení HTTPS - někdo by mohl odposlouchávat a zobrazovat vaše citlivá data.

Vzhledem k tomu, že protokol HTTP neověřuje webový server stejným způsobem jako HTTPS, je také možné, že bezpečný web HTTPS, který vloží skript z webu HTTP, může být podveden tak, že vytáhne skript útočníka a spustí jej na jinak bezpečném místě.Pokud používáte protokol HTTPS, máte více ujištění, že obsah nebyl poškozen a je legitimní.

V obou případech to eliminuje výhodu bezpečného připojení HTTPS.Je možné, že webová stránka by mohla obsahovat varování týkající se nejasného obsahu a vaše osobní údaje stále bezpečně chránit, ale opravdu nevíme jistě a neměli bychom riskovat - proto vás webové prohlížeče varují, když narazíte na webové stránky, které nejsoukódován správně.

chrome-mixed-content-https-problém

Smíšený aktivní obsah vs. smíšený pasivní obsah

Ve skutečnosti existují dva typy smíšeného obsahu.Čím nebezpečnější je "smíšený aktivní obsah" nebo "smíšené skriptování". K tomu dochází, když stránka HTTPS načte soubor skriptu přes protokol HTTP.Soubor skriptu může spustit jakýkoli kód na stránce, kterou chce, takže načtení skriptu přes nejisté připojení zcela zničí zabezpečení aktuální stránky. Webové prohlížeče obecně blokují tento typ smíšeného obsahu zcela.

Druhý typ je "smíšený pasivní obsah" nebo "smíšený obsah zobrazení". K tomu dochází, když na webu HTTPS načte nějaký obrázek nebo zvukový soubor přes připojení HTTP.Tento typ obsahu nemůže narušit zabezpečení stránky stejným způsobem, takže webové prohlížeče nereagují tak tvrdě.Je to však stále špatná bezpečnostní praxe, která by mohla způsobit problémy. Například útočník by mohl nahradit obrázek zavádějícím obrazem, který by mohl manipulovat s teoreticky bezpečnou stránkou. Požadavek na načtení obrázku také obsahuje hlavičky, které obsahují informace o souborech souvisejících s webovými stránkami, takže dokonce i načtení obrázku přes nejisté připojení může způsobit problémy. Webové prohlížeče často zobrazují varovnou ikonu nebo zprávu spíše než úplné blokování obsahu, neboť tento typ smíšeného obsahu je stále na běžných webových stránkách stále běžný.V prohlížeči Chrome se zobrazí visací zámek se žlutým trojúhelníkem.

chrom-visací zámek-žlutý-trojúhelník-smíšený-upozornění na obsah

Co dělat, když vidíte upozornění na smíšený obsah

Webové prohlížeče

obecně blokují nejnebezpečnější typy smíšeného obsahu ve výchozím nastavení.Neblokujte ji. Pokud se nemůžete přihlásit na webové stránky nebo zadat podrobnosti o platbách online, aniž byste museli načítat smíšený obsah, měli byste prostě opustit web a nezadávat informace na nezabezpečenou webovou stránku. Majitelé webových stránek vědí, že jejich stránky jsou nezabezpečené a poškozené.

Pokud se zobrazí upozornění, že stránka obsahuje další zdroje, které nemusí být zabezpečené, je pravděpodobně bezpečné přihlášení stejně.Není to dobré znamení, pokud má webový server tak důležitý jako vaše banka tento problém, ale tento typ varování smíšeného obsahu je velmi běžné.

Na druhou stranu, upozornění na smíšený obsah nejsou opravdu velkým problémem, pokud přistupujete k webovým stránkám, které nepotřebují protokol HTTPS.Všechna upozornění na smíšený obsah znamená, že webová stránka zaručuje, že bude mít prospěch z zabezpečení protokolu HTTPS - jinými slovy, v nejhorším případě je navštívená webová stránka nejistá jako standardní web HTTP.Takže pokud jste měli přístup na webové stránky, jako je Wikipedia, jen abyste si přečetli nějaké články a viděli jste varování o smíšené náplni, nemusíte se o to moc starat. V nejhorším scénáři je to stejně nejisté, jako kdybyste četli články na Wikipedii přes standardní HTTP připojení, které byste stejně neměli žádný problém.

firefox-má-zablokoval-obsah-že-není-bezpečný

Proč některé webové stránky mají tento problém

Zobrazí se tato chyba pouze v případě, že se vyskytne problém s kódováním webové stránky. Pokud se přes HTTPS zobrazuje webová stránka, měla by také použít protokol HTTPS pro stahování souborů skriptů a dalšího obsahu, který vyžaduje. Weboví vývojáři by měli otestovat své webové stránky a zajistit, aby v prohlížečích uživatelů nevyvolávali strašidelné varování.Pokud jste uživatel, nemůžete s tím nic opravdu udělat - je to na vlastníkovi webu, aby to opravil.

Pokud jste webový vývojář, stačí zajistit, aby vaše stránky HTTPS načítaly obsah z adres URL HTTPS, nikoliv z HTTP adres URL.Jedním ze způsobů, jak to udělat, je, aby vaše webové stránky fungovaly pouze přes protokol SSL, takže vše pouhým používá protokol HTTPS.

Pokud chcete vytvořit stránku, která může být zobrazena přes HTTP nebo HTTPS a dělá správnou věc automaticky, můžete použít "relativní adresy URL", aby uživatelský prohlížeč automaticky zvolil protokol HTTP nebo HTTPS podle toho, který protokol má uživatelje spojeno. Relativní adresa protokolu pro načtení obrázku by například vypadala jako & lt; img src = "//example.com/ image.png" & gt;.Prohlížeč automaticky přidá buď http: nebo https: na začátek adresy URL, podle toho, co je vhodné.Samozřejmě budete muset zajistit, aby stránky, na které odkazujete, nabízely zdroj přes HTTP i HTTPS.Webové prohlížeče

pouze-zabezpečený-obsah-je-zobrazen-internet-průzkumník

automaticky blokují smíšený obsah nebo vaši ochranu, a to je důvod, proč.Pokud potřebujete použít zabezpečený web, který nefunguje správně, pokud povolíte smíšený obsah, měl by jej majitel opravit.