23Aug

Wat is een waarschuwing voor gemengde inhoud?

web-browser-mixed-inhoud-waarschuwing

"Deze site bevat onveilige inhoud;" "alleen beveiligde inhoud wordt weergegeven;" "Firefox heeft inhoud geblokkeerd die niet beveiligd is." Soms kom je deze waarschuwingen tegen tijdens het surfen op internet, maar wat bedoelen ze precies?

Er zijn twee soorten gemengde inhoud: de ene is slechter dan de andere, maar geen van beide is goed. Waarschuwingen met gemengde inhoud duiden erop dat er iets mis is met een webpagina die u bezoekt.

Wat is gemengde inhoud?

Dit komt allemaal neer op het verschil tussen HTTP en HTTPS.HTTP is het meest gebruikte type verbinding: wanneer u een website bezoekt met behulp van het HTTP-protocol, is uw verbinding met de website niet beveiligd. Iedereen die het verkeer afluistert, kan de pagina zien die u bekijkt en alle gegevens die u heen en weer verzendt.

Daarom hebben we HTTPS, dat letterlijk 'HTTP Secure' is. HTTPS maakt een veilige verbinding tussen u en de webserver. De verbinding is gecodeerd en geverifieerd, zodat niemand kan snuffelen in uw verkeer en u enige zekerheid hebt dat u bent verbonden met de juiste website. Dit is uiterst belangrijk voor het beveiligen van accountwachtwoorden en online betalingsgegevens, zodat niemand ze kan afluisteren.

Waarschuwingen met gemengde inhoud duiden op een probleem met een webpagina die u gebruikt via HTTPS.De HTTPS-verbinding moet veilig zijn, maar de broncode van de webpagina haalt andere bronnen binnen met het onveilige HTTP-protocol, niet met HTTPS.De adresbalk van uw webbrowser geeft aan dat u bent verbonden met HTTPS, maar de pagina laadt ook bronnen met het onveilige HTTP-protocol op de achtergrond. Om ervoor te zorgen dat u weet dat de webpagina die u gebruikt niet volledig beveiligd is, geven browsers een waarschuwing weer dat de pagina zowel HTTPS- als HTTP-inhoud heeft - gemengde inhoud, met andere woorden.

chroom-this-page-includes-script-from-geverifieerde-bronnen

Waarom dit gevaarlijk is

Dit is waarom dit eigenlijk gevaarlijk is. Laten we zeggen dat u op een betaalpagina staat en dat u op het punt staat uw creditcardnummer in te voeren. De betalingspagina geeft aan dat het een gecodeerde HTTPS-verbinding is, maar u ziet een waarschuwing voor gemengde inhoud. Dit zou een rode vlag moeten opheffen. Het is mogelijk dat de betalingsgegevens die u invoert, kunnen worden vastgelegd door de onveilige inhoud en verzonden via een onbeveiligde verbinding, waardoor het voordeel van HTTPS-beveiliging wordt ondermijnd - iemand kan uw gevoelige gegevens afluisteren en zien.

Omdat HTTP de webserver niet op dezelfde manier authenticeert als HTTPS, is het ook mogelijk dat een beveiligde HTTPS-site die een script van een HTTP-site binnenhaalt, ertoe kan worden gebracht het script van een aanvaller aan te trekken en op de anderszins beveiligde site te laten draaien. Wanneer HTTPS wordt gebruikt, hebt u meer zekerheid dat er niet met de inhoud is geknoeid en dat deze legitiem is.

In beide gevallen elimineert dit het voordeel van een beveiligde HTTPS-verbinding. Het is mogelijk dat een website een onveilige inhoudswaarschuwing heeft en toch uw persoonlijke gegevens correct beveiligt, maar we weten het echt niet zeker en nemen geen risico - daarom waarschuwen webbrowsers u wanneer u een website tegenkomt die niet isgecodeerd.

chroom-mixed-gehalte-https-probleem

Gemengde actieve inhoud versus gemengde passieve inhoud

Er zijn eigenlijk twee soorten gemengde inhoud. De gevaarlijkere is "gemengde actieve inhoud" of "gemengde scripting." Dit gebeurt wanneer een HTTPS-site een scriptbestand via HTTP laadt. Het scriptbestand kan elke code uitvoeren op de pagina die het wil, dus het laden van een script via een onbeveiligde verbinding doet de beveiliging van de huidige pagina volledig teniet. Webbrowsers blokkeren dit type gemengde inhoud over het algemeen volledig.

Het tweede type is "gemengde passieve inhoud" of "gemengde weergave-inhoud." Dit gebeurt wanneer een HTTPS-site iets als een afbeelding of audiobestand via een HTTP-verbinding laadt. Dit type inhoud kan de beveiliging van de pagina niet op dezelfde manier beschadigen, dus webbrowsers reageren niet zo hard. Het is echter nog steeds een slechte beveiligingspraktijk die problemen kan veroorzaken. Een aanvaller kan bijvoorbeeld de afbeelding vervangen door een misleidend beeld en knoeien met een theoretisch beveiligde pagina. Een beeldbelastingsverzoek bevat ook koppen die cookie-informatie bevatten die is gekoppeld aan een website, dus zelfs het laden van een afbeelding via een onveilige verbinding kan problemen veroorzaken. Webbrowsers geven vaak een waarschuwingspictogram of -bericht weer in plaats van de inhoud volledig te blokkeren, omdat dit type gemengde inhoud nog steeds zo vaak voorkomt op echte websites. In Chrome ziet u een hangslot met een gele driehoek.

chroom-padlock-geel-driehoek-mixed-gehalte waarschuwing

Wat u moet doen wanneer u een waarschuwing voor gemengde inhoud ziet

Webbrowsers blokkeren standaard de gevaarlijkste soorten gemengde inhoud. Blokkeer het niet. Als u niet kunt inloggen op een website of online betalingsgegevens kunt invoeren zonder de gemengde inhoud te laden, verlaat u de website en voert u uw gegevens niet in op een onbeveiligde website. Laat de website-eigenaren weten dat hun site onveilig en verbroken is.

Als u een waarschuwing ziet dat een pagina andere bronnen bevat die mogelijk niet beveiligd zijn, is het waarschijnlijk veilig om toch in te loggen. Het is geen goed teken als een website zo belangrijk als uw bank dit probleem heeft, maar dit soort waarschuwingen met gemengde inhoud is heel gewoon.

Aan de andere kant zijn waarschuwingen met gemengde inhoud niet echt een probleem als u een website bezoekt die geen HTTPS nodig heeft. Een waarschuwing voor gemengde inhoud betekent dat een webpagina gegarandeerd baat heeft bij HTTPS-beveiliging. Met andere woorden, in het ergste geval is de webpagina die u bezoekt net zo onveilig als een standaard HTTP-site. Dus, als je een website zoals Wikipedia bezoekt om alleen wat artikelen te lezen en je zag een waarschuwing voor gemengde inhoud, hoef je je daar niet al te veel zorgen over te maken. In het ergste geval is het net zo onveilig alsof je artikelen op Wikipedia leest via een standaard HTTP-verbinding, wat je sowieso geen probleem zou hebben.

firefox-heeft-geblokkeerde-inhoud-dat-isn-beveiligde

Waarom sommige webpagina's dit probleem hebben

U ziet deze fout alleen als er een probleem is met de manier waarop een webpagina is gecodeerd. Als een webpagina wordt aangeboden via HTTPS, moet deze ook het HTTPS-protocol gebruiken om scriptbestanden en andere inhoud in te voeren. Webontwikkelaars moeten hun webpagina's testen en ervoor zorgen dat ze geen angstaanjagende waarschuwingen in de browsers van gebruikers activeren. Als u een gebruiker bent, kunt u hier echt niets aan doen. Het is aan de eigenaar van de website om deze te repareren.

Als u een webontwikkelaar bent, hoeft u alleen maar te zorgen dat uw HTTPS-pagina's inhoud laden van HTTPS-URL's, niet van HTTP-URL's. Een manier om dit te doen is door uw hele website alleen via SSL te laten werken, dus alles gebruikt alleen HTTPS.

Als u een pagina wilt maken die kan worden aangeboden via HTTP of HTTPS en automatisch het juiste doet, kunt u "protocol relatieve URL's" gebruiken om de browser van de gebruiker automatisch HTTP of HTTPS te laten kiezen, afhankelijk van welk protocol de gebruiker gebruiktis verbonden met. Een relatieve URL van een protocol om een ​​afbeelding te laden, lijkt bijvoorbeeld & lt; img src = "//example.com/ image.png" & gt;.De browser voegt automatisch http: of https: toe aan het begin van de URL, al naar gelang wat van toepassing is. Natuurlijk moet u ervoor zorgen dat de site waarnaar u linkt, de bron biedt via zowel HTTP als HTTPS.

alleen-secure content-is-weergegeven-internet-explorer

Webbrowsers blokkeren automatisch gemengde inhoud of uw bescherming en dit is de reden waarom. Als u een beveiligde website moet gebruiken die niet goed werkt, tenzij u gemengde inhoud inschakelt, moet de eigenaar van de website dit corrigeren.