23Aug
"Ta stran ima negotove vsebine," "je prikazana samo varna vsebina;" "Firefox je blokiral vsebino, ki ni varna." Med brskanjem po spletu boste občasno naleteli na ta opozorila, a kaj natančno mislijo?
Obstajata dve vrsti mešanih vsebin - eden je slabši od drugega, vendar ni dober. Opozorila o mešani vsebini kažejo, da je nekaj narobe s spletno stranjo, ki jo obiskujete.
Kaj je mešana vsebina?
Vse to se nanaša na razliko med HTTP in HTTPS.HTTP je najpogosteje uporabljena vrsta povezave - ob obisku spletnega mesta s protokolom HTTP vaša povezava s spletnim mestom ni zavarovana. Vsak, ki prisluhniti prometu, lahko vidi stran, ki jo pregledujete, in vse podatke, ki jih pošiljate naprej in nazaj.
Zato imamo HTTPS, ki je dobesedno »HTTP Secure«. HTTPS ustvarja varno povezavo med vami in spletnim strežnikom. Povezava je šifrirana in potrjena, zato nihče ne more pregreti prometa in imate zagotovilo, da ste povezani s pravilnim spletnim mestom. To je izredno pomembno za zavarovanje gesel za račune in podatke o plačilih na spletu, s čimer jim nihče ne more prisluhniti.
Opozorila o mešani vsebini kažejo na težavo s spletno stranjo, do katere dostopate prek HTTPS.Povezava HTTPS mora biti varna, vendar izvorna koda spletne strani vleče v druge vire s protokolom HTTP, ki ni zavarovan, in ne HTTPS.Naslovna vrstica spletnega brskalnika bo rekla, da ste povezani s HTTPS-jem, vendar stran naloži tudi v nezaščiteni protokol HTTP v ozadju.Če želite vedeti, da spletna stran, ki jo uporabljate, ni popolnoma varna, brskalniki prikažejo opozorilo, da ima stran vsebino vsebine HTTPS in HTTP - mešana vsebina, z drugimi besedami.
Zakaj je to nevarno
Evo zakaj je to dejansko nevarno. Recimo, da ste na plačilni strani in vnesli boste številko vaše kreditne kartice. Stran za plačilo pomeni, da je šifrirana povezava HTTPS, vendar se prikaže opozorilo o mešani vsebini. To bi moralo povečati rdečo zastavo. Možno je, da podatke o plačilu, ki jih vnesete, lahko zajame nezaščitena vsebina in jih pošljejo v nezanesljivo povezavo, s čimer se odstranijo koristi varnosti HTTPS - nekdo bi lahko prisluhnil vašim občutljivim podatkom.
Ker HTTP ne preverja identitete spletnega strežnika na enak način kot HTTPS, je mogoče, da lahko varno mesto HTTPS, ki potegne v skript s spletnega mesta HTTP, preganja napadalni skript in ga izvaja na varno spletnem mestu. Ko uporabljate HTTPS, imate več zagotovil, da vsebina ni bila spremenjena in je legitimna.
V obeh primerih to odpravlja prednosti varne povezave HTTPS.Možno je, da bi spletno mesto lahko imelo negativno vsebinsko opozorilo in še vedno zagotovilo vaše osebne podatke, vendar res ne vem zagotovo in ne bi smelo tvegati - zato vas spletno brskalnik opozori, ko naletite na spletno stran, ki nikodiran pravilno.
Mešana aktivna vsebina v primerjavi z mešano pasivno vsebino
Obstajata dve vrsti mešanih vsebin. Bolj nevarna je "mešana aktivna vsebina" ali "mešano skriptiranje." To se zgodi, ko spletno mesto HTTPS naloži skriptno datoteko prek HTTP-ja. Datoteka skripta lahko zažene poljubno kodo na strani, ki jo želi, zato nalaganje skripta preko negotove povezave popolnoma uniči varnost trenutne strani. Spletni brskalniki v celoti blokirajo to vrsto mešane vsebine.
Druga vrsta je "mešana pasivna vsebina" ali "mešana vsebina zaslona." To se zgodi, ko spletno mesto HTTPS naloži nekaj podobnega kot slike ali zvočne datoteke prek povezave HTTP.Ta vrsta vsebine ne more uničiti varnosti strani na enak način, zato se spletni brskalniki ne odzovejo ostro. Vendar pa je še vedno slaba varnostna praksa, ki bi lahko povzročila težave. Na primer, napadalec bi lahko zamenjal sliko z zavajajočo sliko in posilil teoretično varno stran. Zahteva za nalaganje slike vsebuje tudi glave, ki vsebujejo informacije o piškotkah, povezane s spletnim mestom, zato lahko celo nalaganje slike prek nezanesljive povezave povzroči težave. Spletni brskalniki pogosto prikažejo opozorilno ikono ali sporočilo, namesto da blokirajo vsebino, saj je ta vrsta mešane vsebine na pravih spletnih mestih še vedno tako pogosta. V Chromu boste videli ključavnico z rumenim trikotnikom.
Kaj storiti, ko vidite mešano vsebino Opozorilo
spletni brskalniki privzeto blokirajo najbolj nevarne vrste mešanih vsebin. Ne odblokirajte ga.Če se ne morete prijaviti na spletno mesto ali vnesti spletne podatke o plačilu, ne da bi naložili mešano vsebino, morate zapustiti spletno mesto in ne vnašati podatkov na nezahtevno spletno mesto. Naj lastniki spletnih mest vedo, da je njihova spletna stran nezanesljiva in zlomljena.
Če vidite opozorilo, da stran vsebuje druge vire, ki morda niso varni, je verjetno varno, da se prijavite v vsakem primeru. To ni dober znak, če je spletna stran tako pomembna kot vaša banka, ki ima to težavo, vendar je ta tip mešane vsebine opozorilo zelo pogosto.
Po drugi strani pa mešana opozorila o vsebini v resnici niso velika, če dostopate do spletnega mesta, ki ne potrebuje HTTPS.Vse mešano opozorilo vsebine pomeni, da spletna stran zagotavlja varnost HTTPS - z drugimi besedami, v najslabšem primeru je spletna stran, ki jo obiskujete, negotova kot standardno spletno mesto HTTP.Torej, če ste dostopali do spletne strani, kot je Wikipedija, samo za branje nekaterih člankov in videli ste mešano opozorilo o vsebini, vam tega ni treba skrbeti preveč.V najslabšem primeru je prav tako negotovo, kot če berete članke v Wikipediji prek standardne HTTP povezave, za katero vam nikakor ne bi bilo težav.
Zakaj imajo nekatere spletne strani to težavo
To napako boste videli le, če obstaja težava s kodiranjem spletne strani.Če je spletna stran vročena prek HTTPS-ja, mora uporabiti tudi protokol HTTPS za vlečenje v datoteke skript in drugo vsebino, ki jo potrebuje. Spletni razvijalci bi morali preizkusiti svoje spletne strani in zagotoviti, da v brskalnikih uporabnikov ne sprožajo zastrašujočih opozoril.Če ste uporabnik, ne morete storiti ničesar o tem - na lastniku spletnega mesta je to potrebno popraviti.
Če ste spletni razvijalec, morate storiti, da vaše strani HTTPS naložijo vsebino iz URL-jev HTTPS-a, ne URL-jev HTTP-ja. Eden od načinov za to je, da vaša celotna spletna stran deluje samo prek SSL-ja, zato vse uporablja samo HTTPS.
Če želite narediti stran, ki se lahko vroči prek HTTP-ja ali HTTPS-a in naredi pravilno stvar samodejno, lahko uporabite "relativne URL-je protokola", da uporabniški brskalnik samodejno izbere HTTP ali HTTPS, odvisno od tega, kateri uporabnikje povezan z. Na primer, relativni URL protokola za nalaganje slike bi bil videti kot & lt; img src = "//example.com/ image.png" & gt;.Brskalnik bo samodejno dodal http: ali https: na začetek URL-ja, kar je ustrezno. Seveda boste morali spletnemu mestu, na katerega se povezujete, zagotoviti, da ponuja vir prek HTTP in HTTPS.
spletni brskalniki samodejno blokirajo mešano vsebino ali vašo zaščito, in to je razlog.Če morate uporabiti varno spletno mesto, ki ne deluje pravilno, razen če omogočate mešano vsebino, ga mora lastnik spletnega mesta odpraviti.