23Aug

מה בדיוק הוא תוכן מעורבת אזהרה?

click fraud protection

web-browser-mix-content-warning

"אתר זה מכיל תוכן לא מאובטח", "רק תוכן מאובטח מוצג"; "פיירפוקס חסם תוכן שאינו מאובטח". מדי פעם תיתקל באזהרות אלה בעת גלישה באינטרנט, אבל מה בדיוק הם מתכוונים?

ישנם שני סוגים של תוכן מעורב - אחד גרוע יותר מהשני, אבל זה לא טוב.אזהרות של תוכן מעורב מציינות שמשהו אינו כשורה בדף אינטרנט שבו אתה מבקר.

מהו תוכן מעורב?

כל זה מגיע עד ההבדל בין HTTP ו- HTTPS.HTTP הוא סוג החיבור הנפוץ ביותר - כאשר אתה מבקר באתר באמצעות פרוטוקול HTTP, החיבור לאתר האינטרנט אינו מאובטח.כל ציתות על התנועה יכול לראות את הדף שאתה מציג וכל נתונים שאתה שולח הלוך וחזור.

לכן יש לנו HTTPS, שהוא פשוט "HTTP מאובטח". HTTPS יוצר חיבור מאובטח בינך לבין שרת האינטרנט.החיבור מוצפן ומאומת, כך שאף אחד לא יכול לחטט על התנועה שלך ויש לך קצת ביטחון שאתה מחובר לאתר הנכון.זה מאוד חשוב עבור הבטחת סיסמאות חשבון ונתוני התשלום המקוון, להבטיח שאף אחד לא יכול לצותת עליהם.

אזהרות תוכן מעורב מציינות בעיה בדף אינטרנט שאליו אתה ניגש דרך HTTPS.חיבור HTTPS צריך להיות מאובטח, אך קוד המקור של דף האינטרנט מושך משאבים אחרים באמצעות פרוטוקול HTTP לא מאובטח, ולא HTTPS.שורת הכתובת של דפדפן האינטרנט שלך תאמר שאתה מחובר ל- HTTPS, אך הדף גם טוען משאבים באמצעות פרוטוקול HTTP לא מאובטח ברקע.כדי לוודא שאתה יודע שדף האינטרנט שבו אתה משתמש אינו מאובטח לחלוטין, הדפדפנים מציגים אזהרה המציינת כי הדף כולל תוכן HTTPS ו- HTTP - תוכן מעורב, במילים אחרות.

instagram viewer

chrome-this-page-include-script-from-unauthenticated-sources

למה זה מסוכן

הנה למה זה באמת מסוכן.נניח שאתה נמצא בדף תשלום ואתה עומד להזין את מספר כרטיס האשראי שלך.דף התשלום מציין שזה חיבור HTTPS מוצפן, אך תראה אזהרה של תוכן מעורב.זה צריך להעלות דגל אדום.ייתכן שפרטי התשלום שהזנת יכולים להילכד על ידי התוכן הלא מאובטח ונשלחו על חיבור לא מאובטח, ובכך להסיר את היתרון של האבטחה של HTTPS - מישהו יכול לצותת ולראות את הנתונים הרגישים שלך.

מכיוון ש- HTTP אינו מאמת את שרת האינטרנט באותו אופן שבו HTTPS פועל, ייתכן גם שניתן לעקוף אתר HTTPS מאובטח המושך סקריפט מאתר HTTP למשיכת סקריפט של התוקף ולהפעלתו באתר המאובטח.כאשר נעשה שימוש ב- HTTPS, יש לך יותר הבטחות שהתוכן לא טופל ושהוא לגיטימי.

בשני המקרים, זה מבטל את היתרון של חיבור HTTPS מאובטח.ייתכן שאתר אינטרנט יכול להיות בעל אזהרת תוכן לא מאובטח ועדיין לאבטח את הנתונים האישיים שלך כראוי, אבל אנחנו באמת לא יודעים בוודאות ואיננו צריכים לקחת את הסיכון - לכן דפדפני אינטרנט מזהירים אותך כשאתה נתקל באתר שאינומקודד כראוי.תוכן

chrome-mixed-content-https-problem

מעורב תוכן פעיל לעומת תוכן פסיבי מעורב

ישנם למעשה שני סוגים של תוכן מעורב.אחד המסוכן יותר הוא "תוכן פעיל מעורב" או "Scripting מעורבת". זה קורה כאשר אתר HTTPS טוען קובץ Script על HTTP.קובץ ה- script יכול להפעיל כל קוד בדף שהוא רוצה, ולכן טעינת סקריפט על גבי חיבור לא מאובטח הורסת לחלוטין את האבטחה של הדף הנוכחי.דפדפני אינטרנט בדרך כלל לחסום סוג זה של תוכן מעורב לחלוטין.

הסוג השני הוא "תוכן פסיבי מעורב" או "תוכן תצוגה מעורב". הדבר קורה כאשר אתר HTTPS טוען משהו כמו תמונה או קובץ שמע דרך חיבור HTTP.סוג זה של תוכן לא יכול להרוס את האבטחה של הדף באותו אופן, כך דפדפני אינטרנט לא מגיבים בצורה קשה.עם זאת, זה עדיין תרגול אבטחה רע שיכול לגרום לבעיות.לדוגמה, תוקף יכול להחליף את התמונה בתמונה מטעה, תוך התעללות בדף מאובטח מבחינה תיאורטית.בקשה לטעון תמונה מכילה גם כותרות המכילות מידע על קובצי cookie המשויכים לאתר, כך שגם טעינת תמונה על גבי חיבור לא מאובטח עלולה לגרום לבעיות.דפדפני אינטרנט לעתים קרובות להציג סמל אזהרה או הודעה במקום לחסום את התוכן לחלוטין, כמו זה סוג של תוכן מעורב עדיין כה נפוץ על אתרי אינטרנט אמיתיים.ב- Chrome, תראה מנעול עם משולש צהוב.

כרום-מנעול צהוב-משולש-מעורב-תוכן-אזהרה

מה לעשות כאשר אתה רואה תוכן מעורב אזהרה

דפדפני אינטרנט בדרך כלל לחסום את הסוגים המסוכנים ביותר של תוכן מעורב כברירת מחדל.אל תבטל את החסימה.אם אינך יכול להיכנס לאתר אינטרנט או להזין פרטי תשלום מקוונים מבלי לטעון את התוכן המעורב, עליך פשוט לעזוב את האתר ולא להזין את המידע שלך לאתר לא מאובטח.תן לבעלי האתר לדעת את האתר שלהם הוא לא מאובטח שבור.

אם אתה רואה אזהרה שדף מכיל משאבים אחרים שעשויים להיות לא בטוחים, סביר להניח שהוא בטוח להיכנס בכל זאת.זה לא סימן טוב אם אתר אינטרנט חשוב כמו הבנק שלך יש בעיה זו, אבל זה סוג של אזהרה תוכן מעורבת נפוצה מאוד.

מצד שני, אזהרות תוכן מעורבים הם לא באמת עניין גדול אם אתה ניגש לאתר שאינו זקוק HTTPS.כל אזהרה של תוכן מעורב היא שדף אינטרנט המבטיח ליהנות מאבטחת HTTPS - במילים אחרות, בתרחיש המקרה הגרוע ביותר, דף האינטרנט שבו אתה מבקר אינו מאובטח כמו אתר HTTP סטנדרטי.אז, אם היית גישה לאתר כמו ויקיפדיה רק ​​כדי לקרוא כמה מאמרים וראית אזהרה תוכן מעורבת, אתה לא צריך לדאוג לזה יותר מדי.במקרה הגרוע ביותר, זה פשוט לא מאובטח כאילו היית קורא מאמרים על ויקיפדיה מעל חיבור HTTP סטנדרטי, אשר לא תהיה לך בעיה בכל מקרה.

פיירפוקס, יש חסמו תוכן, כי הוא לא מאובטח

מדוע דפי אינטרנט מסוימים יש בעיה זו

תראה רק את השגיאה אם ​​יש בעיה עם האופן שבו דף אינטרנט מקודד.אם דף אינטרנט מוצג מעל HTTPS, הוא צריך גם להשתמש בפרוטוקול HTTPS כדי למשוך קובצי Script ותוכן אחר שהוא דורש.מפתחי אינטרנט צריכים לבדוק את דפי האינטרנט שלהם, כדי להבטיח שהם לא יפעילו אזהרות מפחידות למראה בדפדפנים של המשתמשים.אם אתה משתמש, אתה לא יכול לעשות שום דבר בקשר לזה - זה תלוי בבעל האתר כדי לתקן את זה.

אם אתה מפתח אתרים, כל שעליך לעשות הוא להבטיח שדפי HTTPS שלך יטענו תוכן מכתובות HTTPS, ולא מכתובות אתר של HTTP.אחת הדרכים לעשות זאת היא על ידי הפיכת האתר כולו שלך לעבוד רק על SSL, אז הכל רק משתמש HTTPS.

אם אתה רוצה ליצור דף זה יכול להיות מוגש על HTTP או HTTPS ועושה את הדבר הנכון באופן אוטומטי, אתה יכול להשתמש "פרוטוקולים יחסית כתובות" כדי דפדפן המשתמש באופן אוטומטי לבחור HTTP או HTTPS לפי הצורך, בהתאם לפרוטוקול המשתמשמחובר.לדוגמה, כתובת פרוטוקול יחסית לטעינת תמונה תיראה כמו & lt; img src = "//example.com/ image.png" & gt;.הדפדפן יוסיף באופן אוטומטי את http: או https: לתחילת כתובת האתר, לפי העניין.כמובן, יהיה עליך לוודא שהאתר שאתה מקשר מציע את המשאב באמצעות HTTP ו- HTTPS.

only-secure-content-is-display-Internet-explorer

דפדפני אינטרנט חוסמים באופן אוטומטי תוכן מעורב או את ההגנה שלך, וזו הסיבה.אם עליך להשתמש באתר מאובטח שאינו פועל כראוי, אלא אם כן אתה מפעיל תוכן מעורב, על בעל האתר לתקן אותו.