23Aug

Čo je to výstraha so zmiešaným obsahom?

webový prehliadač-mixed-content varovanie

"Táto webová lokalita obsahuje nezabezpečený obsah," "zobrazuje sa iba zabezpečený obsah;" "Firefox zablokoval obsah, ktorý nie je bezpečný." Príležitostne narazíte na tieto upozornenia počas prehliadania webu, ale čo presne znamená?

Existujú dva typy zmiešaného obsahu - jeden je horší než druhý, ale ani jeden nie je dobrý.Upozornenia so zmiešaným obsahom naznačujú, že niečo nie je v poriadku s webovou stránkou, ktorú navštevujete.

Čo je zmiešaný obsah?

To všetko sa týka rozdielu medzi HTTP a HTTPS.HTTP je najčastejšie používaný typ pripojenia - keď navštívite webovú lokalitu pomocou protokolu HTTP, vaše pripojenie k webovej lokalite nie je zabezpečené.Každý, kto odpočúva na návštevnosti, môže vidieť stránku, ktorú prezeráte, a všetky údaje, ktoré odosielate sem a tam.

Preto máme HTTPS, čo je doslova "HTTP Secure." HTTPS vytvára zabezpečené spojenie medzi vami a webovým serverom. Pripojenie je zašifrované a overené, takže nikto nemôže svedčiť o vašej prevádzke a máte istotu, že ste pripojení na správny web. Je to mimoriadne dôležité pre zabezpečenie hesiel účtu a platobných údajov online, čím sa zabezpečí, aby ich nikto neposlúchol.

Upozornenia so zmiešaným obsahom poukazujú na problém s webovou stránkou, na ktorú pristupujete cez protokol HTTPS.Pripojenie HTTPS by malo byť zabezpečené, ale zdrojový kód webovej stránky zaťahuje iné zdroje s neistým HTTP protokolom, nie HTTPS.Panel s adresou vášho webového prehliadača hovorí, že ste pripojení k HTTPS, ale stránka načítava aj zdroje s neistým protokolom HTTP na pozadí.Aby ste vedeli, že webová stránka, ktorú používate, nie je úplne bezpečná, prehliadače zobrazujú upozornenie, že stránka má obsah HTTPS a HTTP - zmiešaný obsah, inými slovami.

chróm-to-page-obsahuje-Script-z-neoverených-sources

Prečo je to nebezpečné

Tu je dôvod, prečo je to skutočne nebezpečné.Povedzme, že ste na platobnej stránke a chystáte sa zadať číslo svojej kreditnej karty. Stránka s platbami naznačuje, že ide o šifrované pripojenie HTTPS, ale vidíte varovanie o zmiešanom obsahu. To by malo zvýšiť červenú vlajku. Je možné, že údaje o platbe, ktoré zadáte, mohli byť zachytené nezabezpečeným obsahom a odosielané cez neisté pripojenie, čím by sa vylúčila výhoda zabezpečenia protokolu HTTPS - niekto mohol odposlali a zobraziť vaše citlivé údaje.

Pretože protokol HTTP neoveruje webový server rovnakým spôsobom ako HTTPS, je tiež možné, že zabezpečený web HTTPS, ktorý vloží skript z lokality HTTP, môže byť podvedený tak, že vytiahne skript útočníka a spustí ho na inak bezpečnom mieste. Keď sa používa protokol HTTPS, máte viac uistenia, že obsah nebol ovplyvnený a je legitímny.

V oboch prípadoch to eliminuje výhodu zabezpečeného pripojenia HTTPS.Je možné, že webové stránky môžu mať neisté obsahové upozornenie a stále zabezpečujú vaše osobné údaje správne, ale naozaj nevieme a nemali by sme riskovať - ​​preto vás webové prehliadače varujú, keď narazíte na webové stránky, ktoré nie súsprávne kódované.

chróm-mixed-content-https-problém

Zmiešaný aktívny obsah vs zmiešaný pasívny obsah

V skutočnosti existujú dva typy zmiešaného obsahu.Čím nebezpečnejšia je "zmiešaný aktívny obsah" alebo "zmiešané skriptovanie". K tomu dochádza, keď web HTTPS načíta súbor skriptu cez protokol HTTP.Súbor skriptu môže spustiť ľubovoľný kód na stránke, ktorú chce, takže načítanie skriptu cez neisté pripojenie úplne zničí bezpečnosť aktuálnej stránky. Webové prehliadače úplne blokujú tento typ zmiešaného obsahu.

Druhý typ je "zmiešaný pasívny obsah" alebo "zmiešaný obsah zobrazenia". K tomu dochádza, ak sa na webe HTTPS načíta na niečo ako obrázok alebo zvukový súbor cez HTTP spojenie. Tento typ obsahu nemôže narušiť bezpečnosť stránky rovnakým spôsobom, takže webové prehliadače nereagujú tak tvrdo. Je to však stále zlá bezpečnostná prax, ktorá by mohla spôsobiť problémy. Napríklad útočník by mohol nahradiť obrázok zavádzajúcim obrazom, ktorý by mohol manipulovať s teoreticky bezpečnou stránkou. Požiadavka na načítanie obrázka obsahuje aj hlavičky, ktoré obsahujú informácie o súboroch cookie priradené k webovým stránkam, takže aj načítanie obrázka cez neisté pripojenie môže spôsobiť problémy. Webové prehliadače často zobrazujú ikonu alebo správu varovania, nie úplne zablokovanie obsahu, pretože tento typ zmiešaného obsahu je stále taký bežný na skutočných webových stránkach. V prehliadači Chrome sa zobrazí visiaci zámok so žltým trojuholníkom.

chróm-visiaci zámok-žltá-trojuholník-zmiešanú obsah varovanie

Čo robiť, keď vidíte upozornenie na zmiešaný obsah

Webové prehliadače

vo všeobecnosti blokujú najnebezpečnejšie typy zmiešaného obsahu. Neodblokujte ho. Ak sa nemôžete prihlásiť na webové stránky alebo zadať podrobnosti o platbe online bez načítania zmiešaného obsahu, mali by ste jednoducho opustiť webové stránky a nezadávať svoje informácie na nezabezpečenú webovú stránku. Umožnite majiteľom webových stránok vedieť, že ich stránka je nezabezpečená a porušená.

Ak sa zobrazí upozornenie, že stránka obsahuje iné zdroje, ktoré nemusia byť zabezpečené, je pravdepodobne bezpečné prihlásiť sa. Nie je to dobré znamenie, ak má webový server taký dôležitý ako vaša banka tento problém, ale tento typ varovania zmiešaného obsahu je veľmi bežný.

Na druhej strane, zmiešané upozornenia na obsah nie sú naozaj veľké, ak pristupujete na webové stránky, ktoré nepotrebujú protokol HTTPS.Všetky upozornenia týkajúce sa zmiešaného obsahu spočívajú v tom, že webová stránka garantuje, že využíva bezpečnosť protokolu HTTPS - inými slovami, v najhoršom prípade je navštívená webová stránka rovnako neistá ako štandardný web HTTP.Takže, ak ste pristupovali na webové stránky ako Wikipedia, len aby ste si prečítali niektoré články a videli ste varovanie o zmiešanom obsahu, nemusíte sa o to moc starať.V najhoršom scenári je to rovnako neisté, ako keby ste čítali články na Wikipédii cez štandardné HTTP spojenie, ktoré by ste aj tak nemali robiť.

firefox-má-blokovaný obsah, ktorý-Z vyššie uvedených parametrov-secure

Prečo niektoré webové stránky majú tento problém

Táto chyba sa zobrazí iba vtedy, ak sa vyskytne problém s tým, ako je kódovaná webová stránka. Ak sa cez HTTPS zobrazuje webová stránka, mala by tiež použiť protokol HTTPS na vytiahnutie súborov skriptov a ďalšieho obsahu, ktorý vyžaduje. Weboví vývojári by mali otestovať svoje webové stránky a zabezpečiť, aby v prehliadačoch používateľov nevyvolávali strašidelné upozornenia. Ak ste používateľ, nemôžete naozaj nič urobiť - je to na majiteľovi webových stránok, aby ste to vyriešili.

Ak ste webový vývojár, stačí, aby vaše stránky HTTPS načítavali obsah z webových adries HTTPS, a nie z adries HTTP.Jedným zo spôsobov, ako to urobiť, je tým, že celé vaše webové stránky pracujú iba cez protokol SSL, takže všetko používa protokol HTTPS.

Ak chcete vytvoriť stránku, ktorá sa môže zobrazovať cez protokol HTTP alebo HTTPS a robí správne to správne, môžete použiť "relatívne adresy URL protokolu" tak, aby prehliadač používateľa automaticky zvolil protokol HTTP alebo HTTPS podľa toho, ktorý protokol používateľje prepojená s. Napríklad relatívna adresa URL pre načítanie obrázka by vyzerala ako & lt; img src = "//example.com/ image.png" & gt;.Prehliadač automaticky pridá buď http: alebo https: na začiatok adresy URL, podľa toho, čo je vhodné.Samozrejme, budete musieť zabezpečiť, aby stránka, na ktorú odkazujete, ponúkla zdroj cez HTTP aj HTTPS.Webové prehliadače

Iba-secure-content-je-Zobrazí-internet-explorer

automaticky blokujú zmiešaný obsah alebo vašu ochranu, a to je dôvod. Ak potrebujete používať zabezpečené webové stránky, ktoré nefungujú správne, ak povolíte zmiešaný obsah, majiteľ webovej lokality by mal opraviť.