23Aug

O que é exatamente um aviso de conteúdo misto?

aviso de conteúdo com conteúdo na web e navegador

"Este site tem conteúdo inseguro;" "apenas o conteúdo seguro é exibido;" O Firefox bloqueou conteúdo que não é seguro. "Você ocasionalmente irá encontrar esses avisos enquanto navega na web, mas o que exatamente eles significam?

Existem dois tipos de conteúdo misto - um é pior do que o outro, mas tampouco é bom. Os avisos de conteúdo misto indicam que algo está errado com uma página da Web que você está visitando.

O que é conteúdo misto?

Isso tudo se resume à diferença entre HTTP e HTTPS.O HTTP é o tipo de conexão mais comum: quando você visita um site usando o protocolo HTTP, sua conexão com o site não está protegida. Qualquer um que espia no tráfego pode ver a página que você está visualizando e os dados que você está enviando para trás e para trás.

É por isso que temos o HTTPS, que é literalmente "HTTP seguro". O HTTPS cria uma conexão segura entre você e o servidor web. A conexão é criptografada e autenticada, para que ninguém possa bisbilhotar no seu tráfego e você tem alguma garantia de que você está conectado ao site correto. Isso é extremamente importante para garantir senhas de conta e dados de pagamento on-line, garantindo que ninguém possa espioná-los.

Os avisos de conteúdo misto indicam um problema com uma página da Web que você está acessando em HTTPS.A conexão HTTPS deve ser segura, mas o código-fonte da página da Web está puxando outros recursos com o protocolo HTTP inseguro, e não o HTTPS.A barra de endereço do seu navegador irá dizer que você está conectado com HTTPS, mas a página também está carregando recursos com o protocolo HTTP inseguro em segundo plano. Para garantir que você saiba que a página da Web que você está usando não é completamente segura, os navegadores exibem um aviso dizendo que a página possui conteúdo HTTPS e HTTP - conteúdo misto, em outras palavras.

chrome-this-page-includes-script-from-unuthenticated-sources

Por que isso é perigoso

Aqui está porque isso é realmente perigoso. Digamos que você esteja em uma página de pagamento e você está prestes a inserir seu número de cartão de crédito. A página de pagamento indica que é uma conexão HTTPS criptografada, mas você vê um aviso de conteúdo misto. Isso deve criar uma bandeira vermelha.É possível que os detalhes de pagamento que você digite possam ser capturados pelo conteúdo inseguro e enviados por uma conexão insegura, removendo o benefício da segurança HTTPS - alguém pode escapar e ver seus dados confidenciais.

Como o HTTP não autentica o servidor web da mesma forma que o HTTPS faz, também é possível que um site HTTPS seguro que puxasse um script de um site HTTP poderia ser enganado para puxar o script de um invasor e executá-lo no site de outra forma seguro. Quando HTTPS é usado, você tem mais garantias de que o conteúdo não foi adulterado e é legítimo.

Em ambos os casos, isso elimina o benefício de ter uma conexão HTTPS segura.É possível que um site possa ter um aviso de conteúdo inseguro e ainda proteger seus dados pessoais corretamente, mas nós realmente não sabemos com certeza e não devemos correr o risco - é por isso que os navegadores da Web o avisam quando você se deparar com um site que não écodificado corretamente.

Chrome-mixed-content-https-problem

Conteúdo Ativo Misto vs. Conteúdo Passivo Misto

Existem, na verdade, dois tipos de conteúdo misto. O mais perigoso é "conteúdo ativo misto" ou "script misto". Isso ocorre quando um site HTTPS carrega um arquivo de script por HTTP.O arquivo de script pode executar qualquer código na página que deseja, portanto, carregar um script em uma conexão insegura arruina completamente a segurança da página atual. Os navegadores da Web geralmente bloqueiam esse tipo de conteúdo misturado completamente.

O segundo tipo é "conteúdo passivo misto" ou "conteúdo de exibição misto". Isso ocorre quando um site HTTPS carrega algo como uma imagem ou arquivo de áudio em uma conexão HTTP.Este tipo de conteúdo não pode arruinar a segurança da página da mesma maneira, de modo que os navegadores da Web não reagem tão severamente. No entanto, ainda é uma prática de segurança ruim que pode causar problemas. Por exemplo, um invasor pode substituir a imagem por uma imagem enganosa, adulterando uma página teoricamente segura. Um pedido de carga de imagem também contém cabeçalhos que contêm informações de cookies associadas a um site, portanto, mesmo carregar uma imagem em uma conexão insegura pode causar problemas. Os navegadores da Web geralmente exibem um ícone ou mensagem de aviso ao invés de bloquear o conteúdo completamente, pois esse tipo de conteúdo misto ainda é tão comum em sites reais. No Chrome, você verá um cadeado com um triângulo amarelo.

Chrome-padlock-yellow-triangle-mixed-content-warning

O que fazer quando você vê um conteúdo misto Aviso

Os navegadores da Web

geralmente bloqueiam os tipos mais perigosos de conteúdo misto por padrão. Não desbloqueie. Se você não pode entrar em um site ou inserir detalhes de pagamento on-line sem carregar o conteúdo misto, você deve deixar o site e não inserir suas informações em um site sem garantia. Deixe os proprietários do site saberem que seu site não é seguro e está quebrado.

Se você vir um aviso de que uma página contém outros recursos que podem não ser seguros, provavelmente é seguro fazer o login de qualquer maneira. Não é um bom sinal se um site tão importante quanto seu banco tiver esse problema, mas esse tipo de aviso de conteúdo misto é muito comum.

Por outro lado, avisos de conteúdo misto não são muito importantes se você estiver acessando um site que não precisa de HTTPS.Todo um aviso de conteúdo misto significa que uma página da Web é garantida para se beneficiar da segurança HTTPS - em outras palavras, no pior dos casos, a página da Web que você está visitando é tão insegura como um site HTTP padrão. Então, se você estivesse acessando um site como a Wikipédia apenas para ler alguns artigos e você viu um aviso de conteúdo misto, você não deveria se preocupar demais com isso. No pior dos casos, é tão inseguro como se estivesse lendo artigos sobre a Wikipedia em relação a uma conexão HTTP padrão, o que não teria qualquer problema de fazer de qualquer maneira.

firefox-has-blocked-content-that-is not-secure

Por que algumas páginas da Web têm esse problema

Você só verá este erro se houver um problema com a forma como uma página da web é codificada. Se uma página da Web for exibida através de HTTPS, também deve usar o protocolo HTTPS para puxar arquivos de script e outros conteúdos que ele requer. Os desenvolvedores da Web devem testar suas páginas da web, garantindo que elas não provocam avisos de aparência assustadora nos navegadores dos usuários. Se você é um usuário, você não pode realmente fazer nada sobre isso - cabe ao proprietário do site corrigi-lo.

Se você é um desenvolvedor web, tudo o que você precisa fazer é garantir que suas páginas HTTPS carregem conteúdo de URLs HTTPS, e não de URLs HTTP.Uma maneira de fazer isso é fazendo com que seu site inteiro só funcione em SSL, então tudo simplesmente usa HTTPS.

Se você quiser fazer uma página que possa ser servida por HTTP ou HTTPS e faça o correto automaticamente, você pode usar "URL relativos do protocolo" para que o navegador do usuário escolha automaticamente HTTP ou HTTPS conforme apropriado, dependendo de qual protocolo o usuárioestá conectado com. Por exemplo, um URL relativo ao protocolo para carregar uma imagem pareceria & lt; img src = "//example.com/ image.png" & gt;.O navegador irá adicionar automaticamente http: ou https: ao início do URL, o que for apropriado. Claro, você precisará garantir o site que você está vinculando para oferecer o recurso sobre HTTP e HTTPS.Os navegadores da Web

only-secure-content-is-display-internet-explorer

bloqueiam automaticamente o conteúdo misto ou sua proteção, e é por isso que. Se você precisar usar um site seguro que não funciona corretamente, a menos que você ative conteúdo misto, o proprietário do site deve corrigi-lo.