23Aug

Hvad er en blandet indholds advarsel?

web-browser-blandet indhold-advarsel

"Denne side har usikkert indhold;" "Kun sikkert indhold vises." "Firefox har blokeret indhold, der ikke er sikkert." Du vil lejlighedsvis komme på tværs af disse advarsler, mens du surfer på internettet, men hvad betyder det egentlig?

Der er to typer blandet indhold - det ene er værre end det andet, men det er heller ikke godt. Blandede indholds advarsler angiver, at der er noget galt med en webside, du besøger.

Hvad er blandet indhold?

Det hele kommer ned på forskellen mellem HTTP og HTTPS.HTTP er den mest almindelige type forbindelse - når du besøger et websted ved hjælp af HTTP-protokollen, er din forbindelse til hjemmesiden ikke sikret. Enhver, der aflytter på trafikken, kan se den side, du ser, og eventuelle data, du sender frem og tilbage.

Derfor har vi HTTPS, som er bogstaveligt "HTTP Secure." HTTPS opretter en sikker forbindelse mellem dig og webserveren. Forbindelsen er krypteret og autentificeret, så ingen kan snoop på din trafik, og du har sikkerhed for, at du er forbundet til den rigtige hjemmeside. Dette er yderst vigtigt for at sikre kontoadgangskoder og online betalingsdata, der sikrer, at ingen kan aflytte dem.

Blandede indholds advarsler angiver et problem med en webside, du får adgang til via HTTPS.HTTPS-forbindelsen skal være sikker, men websitetens kildekode trækker i andre ressourcer med den usikre HTTP-protokol, ikke HTTPS.Din webbrowsers adresselinje vil sige, at du er forbundet med HTTPS, men siden lægger også ressourcer i med den usikre HTTP-protokol i baggrunden. For at sikre at du ved, at den webside, du bruger, ikke er helt sikker, viser browsere en advarsel, der siger, at siden har både HTTPS- og HTTP-indhold - blandet indhold, med andre ord.

krom-denne-side-omfatter-script-fra-godkendte-kilder

Hvorfor dette er farligt

Her er hvorfor dette faktisk er farligt. Lad os sige, at du er på en betalingsside, og du er ved at indtaste dit kreditkortnummer. Betalingssiden angiver, at det er en krypteret HTTPS-forbindelse, men du ser et advarsel om blandet indhold. Dette burde rejse et rødt flag. Det er muligt, at de betalingsoplysninger, du indtaster, kunne fanges af det usikre indhold og sendes over en usikker forbindelse, så du undgår fordelene ved HTTPS-sikkerhed - nogen kunne aflytte og se dine følsomme data.

Da HTTP ikke autentificerer webserveren på samme måde som HTTPS, er det også muligt, at et sikkert HTTPS-websted, der trækker i et script fra et HTTP-websted, kunne blive narret til at trække en angribers script og køre den på det ellers sikre websted. Når HTTPS anvendes, har du flere forsikringer om, at indholdet ikke blev manipuleret og er legitimt.

I begge tilfælde elimineres dette fordelen ved at have en sikker HTTPS-forbindelse. Det er muligt, at et websted kan have en advarsel om usikkerhed og stadig sikre dine personlige data korrekt, men vi ved det ikke rigtigt og bør ikke tage risikoen. Det er grunden til, at webbrowsere advarer dig, når du kommer på tværs af et websted, der ikke erkodet korrekt.

krom-blandet indhold-https-problem

Blandet aktivt indhold vs. blandet passivt indhold

Der er faktisk to typer blandet indhold. Den mere farlige er "blandet aktivt indhold" eller "blandet scripting." Dette sker, når et HTTPS-websted indlæser en scriptfil over HTTP.Skriptfilen kan køre nogen kode på den side, den vil have, så at læse et script over en usikker forbindelse ødelægger sikkerheden for den aktuelle side fuldstændigt. Webbrowsere blokkerer generelt denne type blandet indhold fuldstændigt.

Den anden type er "blandet passivt indhold" eller "blandet displayindhold." Dette sker, når et HTTPS-websted indlæser noget som et billede eller en lydfil over en HTTP-forbindelse. Denne type indhold kan ikke ødelægge sidens sikkerhed på samme måde, så webbrowsere reagerer ikke så hårdt. Det er dog stadig en dårlig sikkerhedspraksis, der kan forårsage problemer. F.eks. Kan en angriber erstatte billedet med et vildledende billede, der manipulerer med en teoretisk sikker side. En anmodning om billedbelastning indeholder også overskrifter, der indeholder cookieoplysninger, der er knyttet til et websted, så selv ved at lægge et billede over en usikker forbindelse kan forårsage problemer. Webbrowsere viser ofte et advarselsikon eller en meddelelse i stedet for at blokere indholdet helt, da denne type blandet indhold stadig er så almindeligt på rigtige websites. I Chrome ser du en hængelås med en gul trekant.

krom-hængelås-gul-trekant-blandet indhold-advarsel

Hvad skal du gøre, når du ser et blandet indholds advarsel

Webbrowsere blokkerer som regel de farligste typer af blandet indhold. Bloker det ikke op. Hvis du ikke kan logge ind på et websted eller indtaste online betalingsoplysninger uden at indlæse det blandede indhold, skal du bare forlade hjemmesiden og ikke indtaste dine oplysninger på et usikkert websted. Lad webstedsejere vide, at deres websted er usikkert og brudt.

Hvis du ser en advarsel om, at en side indeholder andre ressourcer, der muligvis ikke er sikre, er det sikkert sikkert at logge ind alligevel. Det er ikke et godt tegn, hvis en hjemmeside, der er lige så vigtig som din bank har dette problem, men denne type advarsel om blandet indhold er meget almindeligt.

På den anden side er blandede indholds advarsler ikke rigtig en stor ting, hvis du har adgang til et websted, der ikke har brug for HTTPS.Alt et advarsel om blandet indhold er, at en webside garanteres at udnytte HTTPS-sikkerhed - med andre ord, i værste fald er den webside, du besøger, lige så usikker som et standard HTTP-websted. Så hvis du havde adgang til et websted som Wikipedia bare for at læse nogle artikler, og du så en advarsel om blandet indhold, skal du ikke bekymre dig om det for meget. I værste fald er det lige så usikkert, som om du læste artikler på Wikipedia over en standard HTTP-forbindelse, som du ikke har noget problem at gøre alligevel.

firefox-har-blokeret-indhold-at-isnt-secure

Hvorfor nogle websider har dette problem

Du vil kun se denne fejl, hvis der er et problem med måden en webside er kodet på.Hvis en webside serveres over HTTPS, bør den også bruge HTTPS-protokollen til at trække i scriptfiler og andet indhold, som det kræver. Webudviklere bør teste deres websider og sikre, at de ikke udløser uhyggelige advarsler i brugernes browsere. Hvis du er en bruger, kan du ikke gøre noget ved dette - det er op til webstedets ejer at rette op på det.

Hvis du er en webudvikler, er alt du skal gøre, sikre, at dine HTTPS-sider indlæser indhold fra HTTPS-URL'er, ikke HTTP-URL'er. En måde at gøre dette på er at gøre hele dit websted kun arbejde over SSL, så alt bruger kun HTTPS.

Hvis du vil lave en side, der kan serveres via HTTP eller HTTPS, og gør den rigtige ting automatisk, kan du bruge "protokollens relative webadresser" for at få brugerens browser til automatisk at vælge HTTP eller HTTPS, afhængigt af hvilken protokol brugerener forbundet med. For eksempel vil en protokollens relative URL for at indlæse et billede ligne & lt; img src = "//example.com/ image.png" & gt;.Browseren tilføjer automatisk enten http: eller https: til starten af ​​webadressen, alt efter hvad der er relevant. Selvfølgelig skal du sikre, at det websted, du linker, giver ressourcen over både HTTP og HTTPS.

kun-sikkert-indhold-er-vist-internet-explorer

Webbrowsere blokerer automatisk blandet indhold eller din beskyttelse, og det er derfor. Hvis du skal bruge et sikkert websted, der ikke fungerer korrekt, medmindre du aktiverer blandet indhold, skal webstedets ejer rette op på det.