23Aug

Mikä on tarkkaan sekoitettu sisältövaroitus?

Web-selain-mixed-sisällön-varoitus

"Tällä sivustolla on epävarmoja sisältöjä," "vain suojattu sisältö näkyy," "Firefox on estänyt sisällön, joka ei ole turvallinen." Näet joskus näitä varoituksia selaamisen aikana, mutta mitä tarkoittavat?

Sekoitettu sisältö on kahta tyyppiä - yksi on huonompi kuin toinen, mutta ei ole hyvä.Sekaväestysvaroitukset ovat osoitus siitä, että jotain on väärässä vierailemasi verkkosivun kanssa.

Mikä on sekoitettu sisältö?

Tämä kaikki eroaa HTTP: n ja HTTPS: n välillä.HTTP on yleisin yhteys - kun käyt HTTP-protokollaa käyttävällä verkkosivustolla, yhteytesi sivustoon ei ole suojattu. Jokainen, joka salakuuntelee liikenteestä, voi nähdä katsomasi sivun ja kaikki lähettämät tiedot edestakaisin.

Siksi meillä on HTTPS, joka on kirjaimellisesti "HTTP Secure". HTTPS luo suojatun yhteyden sinun ja verkkopalvelimen välillä.Yhteys on salattu ja todennettu, joten kukaan ei voi snooptaa liikennettäsi ja sinulla on varmuus siitä, että olet yhteydessä oikeaan verkkosivustoon. Tämä on äärimmäisen tärkeää tilin salasanojen ja online-maksutietojen turvaamiseksi, jotta kukaan ei voi salakuunnella niitä.

Mixed content varoitukset viittaavat ongelmiin verkkosivulla, jota käytät HTTPS: n kautta. HTTPS-yhteyden pitäisi olla turvallinen, mutta verkkosivun lähdekoodi vetää muita resursseja epävarman HTTP-protokollan, ei HTTPS: n kanssa. Selaimesi osoiterivillä sanotaan, että olet yhteydessä HTTPS: hen, mutta sivu lataa myös resursseja epävarman HTTP-protokollan kanssa taustalla. Jotta varmistat, että käyttämäsi verkkosivut eivät ole täysin turvallisia, selaimissa näkyy varoitus, että sivulla on sekä HTTPS- että HTTP-sisältö - sekoitettu sisältö eli toisin sanoen.

kromi-this-sivun-sisältää-skripti-from-todentamattomista-lähteistä

Miksi tämä on vaarallinen

Tässä miksi tämä on todella vaarallista. Oletetaan, että olet maksusivulla ja annat luottokorttisi numeron. Maksusivulla näkyy, että se on salattu HTTPS-yhteys, mutta näet sekoitetun sisällön varoituksen. Tämä nostaa punaisen lipun. On mahdollista, että tallentamasi maksutiedot saattavat tarttua epävarmasta sisällöstä ja lähetetään epävarman yhteyden kautta poistamalla HTTPS-tietoturvan hyödyt - joku voisi salata ja nähdä arkaluonteiset tiedot.

Koska HTTP ei autentikoi Web-palvelinta samalla tavoin kuin HTTPS, on myös mahdollista, että HTTP-sivuston komentosarjasta vetävää suojattua HTTPS-sivustoa voidaan houkutella vetämällä hyökkääjän käsikirjoitus ja suorittamalla se muulla tavalla suojatulla sivustolla. Kun käytetään HTTPS-protokollaa, sinulla on enemmän varmoja siitä, että sisältöä ei muutettu ja se on oikeutettu.

Kummassakin tapauksessa tämä estää turvallisen HTTPS-yhteyden edun. On mahdollista, että verkkosivustolla saattaa olla epävarmoja sisältövaroituksia ja silti suojata henkilötietojasi kunnolla, mutta emme todellakaan tiedä varmasti eikä oteta riskiä - siksi selaimet varoittavat sinua, kun törmäät verkkosivustoon, joka ei olekoodattu oikein.

kromi-mixed-sisällön-https-ongelma

Sekoitettu aktiivinen sisältö vs. sekapäästösisällö

Itse asiassa on kahdenlaisia ​​sekoitettu sisältöä.Vaarallisempi on "sekoitettu aktiivinen sisältö" tai "sekamuotoinen komentosarja". Tämä tapahtuu, kun HTTPS-sivusto lataa komentotiedoston HTTP: n kautta. Komentotiedosto voi suorittaa minkä tahansa koodin haluamaasi sivulle, joten komentosarjan lataaminen epävarman yhteyden yli kokonaan romuttaa nykyisen sivun suojauksen. Verkkoselaimet estävät kaiken tyyppisen sekoitetun sisällön kokonaan.

Toinen tyyppi on "mixed passive content" tai "mixed display content". Tämä tapahtuu, kun HTTPS-sivusto lataa jotain kuvaa tai äänitiedostoa HTTP-yhteyden kautta. Tämäntyyppinen sisältö ei voi rikkoa sivun suojausta samalla tavoin, joten selaimet eivät reagoi yhtä ankaraa. Se on kuitenkin edelleen huono suojauskäytäntö, joka voi aiheuttaa ongelmia. Esimerkiksi hyökkääjä voi korvata kuvan harhaanjohtavalla kuvalla ja muuttaa teoreettisesti suojattua sivua. Kuvien latauspyyntö sisältää myös otsakkeita, jotka sisältävät verkkosivustolle liitetyn evästeinformaation, joten jopa kuvan lataaminen epävarman yhteyden kautta voi aiheuttaa ongelmia. Web-selaimet näyttävät usein varoituskuvakkeen tai -viestin sen sijaan, että ne estäisivät sisällön kokonaan, koska tällainen sekoitettu sisältö on edelleen niin tavallista todellisissa verkkosivustoissa. Chromessa näet riippulukon, jossa on keltainen kolmio.

kromi-lukko-keltainen kolmio-mixed-sisällön-varoitus

Mitä tehdä, kun näet sekoitetun sisällön varoituksen

-selaimet estävät yleensä vaarallisimmat sekatyyppiset tyypit oletuksena.Älä poista sitä.Jos et voi kirjautua verkkosivustoon tai kirjoittaa online-maksuja koskevia tietoja lataamatta sekoitettua sisältöä, jätä sivusto ja jättää tietosi turvalliseen verkkosivustoon. Anna sivuston omistajille tietää, että sivusto ei ole turvallinen ja rikki.

Jos näet varoituksen siitä, että sivu sisältää muita resursseja, jotka eivät välttämättä ole turvallisia, on todennäköisesti turvallista kirjautua joka tapauksessa. Se ei ole hyvä merkki siitä, onko verkkosivustolla yhtä tärkeä kuin pankillasi tämä ongelma, mutta tämäntyyppinen sekaisin sisältövaroitus on hyvin yleinen.

Toisaalta sekoitettu sisältövaroitukset eivät ole kovinkaan tärkeitä, jos käytät verkkosivustoa, joka ei tarvitse HTTPS-palvelua. Kaikki sekasisällön varoitusjärjestelmä tarkoittaa sitä, että HTTPS-tietoturvan takaava verkkosivusto - toisin sanoen pahimmassa tapauksessa skannattava verkkosivusto on yhtä turvallinen kuin tavallinen HTTP-sivusto. Joten, jos käytit WWW-sivustoa, kuten Wikipediaa vain lukemaan joitakin artikkeleita ja näit sekatavaratiedotuksen, sinun ei pitäisi tarvita sitä liikaa. Pahimmassa tapauksessa se on aivan yhtä turvallinen kuin jos luet artikkeleita Wikipediasta tavallisella HTTP-yhteydellä, johon sinulla ei olisi mitään ongelmaa joka tapauksessa.

firefox-on-suojattu sisältö-että-isnt-secure

Miksi jotkin Web-sivut ovat ongelma

Näet tämän virheen vain, jos verkkosivu on koodattu. Jos verkkosivua käytetään HTTPS-protokollaa käytettäessä, sen on käytettävä HTTPS-protokollaa myös vetämällä komentotiedostoja ja muuta sisältöä.Web-kehittäjien pitäisi testata verkkosivujaan varmistaen, että he eivät laukaise pelottavia varoituksia käyttäjien selaimissa. Jos olet käyttäjä, et todellakaan voi tehdä mitään tästä - sivuston omistaja voi korjata sen.

Jos olet web-kehittäjä, sinun on vain varmistettava, että HTTPS-sivusi lataavat sisältöä HTTPS-URL-osoitteista, ei HTTP-URL-osoitteista. Yksi tapa tehdä tämä on tehdä koko verkkosivusto toimii vain SSL, joten kaikki vain käyttää HTTPS.

Jos haluat tehdä sivun, joka voidaan lähettää HTTP- tai HTTPS-protokollan kautta ja tekee oikein automaattisesti, voit käyttää "protokollan suhteellisia URL-osoitteita", jotta käyttäjän selaimessa valitaan automaattisesti HTTP tai HTTPS, riippuen siitä, mikä protokollaon kytketty. Esimerkiksi protokollan suhteellinen URL kuvan lataamiseen näyttäisi olevan & lt; img src = "//example.com/ image.png" & gt;.Selain lisää automaattisesti joko http: tai https: URL-osoitteen alkuun sen mukaan, kumpi on sopiva. Tietenkin sinun on varmistettava, että sivusto, johon yhdistät, tarjoaa resurssin sekä HTTP: n että HTTPS: n kautta.

Vain-secure-sisällön on näkyviä-internet-explorer

Web-selaimet estävät automaattisesti sekasisällön tai suojauksen, ja tästä syystä.Jos sinun on käytettävä suojattua verkkosivustoa, joka ei toimi kunnolla, ellei oteta käyttöön sekoitettua sisältöä, verkkosivuston omistaja korjaa sen.