23Aug
"Den här webbplatsen har osäkert innehåll," "bara säkert innehåll visas", "Firefox har blockerat innehåll som inte är säkert." Du kommer ibland att stöta på dessa varningar när du surfar på webben, men vad betyder det egentligen?
Det finns två typer av blandat innehåll - en är sämre än den andra, men inte heller bra. Blandade innehållsvarningar anger att något är fel med en webbsida du besöker.
Vad är blandat innehåll?
Allt detta kommer till skillnad mellan HTTP och HTTPS.HTTP är den vanligaste typen av anslutning - när du besöker en webbplats med HTTP-protokollet är din anslutning till webbplatsen inte säkrad. Någon som avlyssnar på trafiken kan se den sida du tittar på och vilken data du skickar fram och tillbaka.
Därför har vi HTTPS, vilket är bokstavligen "HTTP Secure." HTTPS skapar en säker anslutning mellan dig och webbservern. Anslutningen är krypterad och autentiserad, så ingen kan snoop på din trafik och du har viss försäkran om att du är ansluten till rätt webbplats. Detta är oerhört viktigt för att säkra konto lösenord och online betalningsdata, så att ingen kan avlyssna dem.
Blandade innehållsvarningar anger ett problem med en webbsida som du använder över HTTPS.HTTPS-anslutningen ska vara säker, men webbsidans källkod drar i andra resurser med det osäkra HTTP-protokollet, inte HTTPS.Din webbläsares adressfält säger att du är ansluten till HTTPS, men sidan laddar också resurser med det osäkra HTTP-protokollet i bakgrunden. För att du vet att webbsidan du använder inte är helt säker, visar webbläsare en varning som säger att sidan har både HTTPS och HTTP-innehåll - blandat innehåll, med andra ord.
Varför detta är farligt
Det här är därför det här är faktiskt farligt. Låt oss säga att du är på en betalningssida och du ska skriva in ditt kreditkortsnummer. Betalningssidan visar att det är en krypterad HTTPS-anslutning, men du får en varning om blandat innehåll. Detta bör höja en röd flagga. Det är möjligt att de betalningsuppgifter du anger skulle kunna fångas av det osäkra innehållet och skickas över en osäker anslutning, vilket gör att du inte kan dra nytta av HTTPS-säkerhet - någon kan avlyssna och se dina känsliga data.
Eftersom HTTP inte autentiserar webbservern på samma sätt som HTTPS gör, är det också möjligt att en säker HTTPS-webbplats som drar in ett skript från en HTTP-webbplats kan luras på att dra en angripares script och köra den på den annars säkra webbplatsen. När HTTPS används har du fler försäkringar om att innehållet inte var manipulerat och är legitimt.
I båda fallen eliminerar detta fördelen med att ha en säker HTTPS-anslutning. Det är möjligt att en webbplats kan få en osäker innehållsvarning och ändå säkra dina personuppgifter korrekt, men vi vet verkligen inte och borde inte ta risken. Därför varnar webbläsare när du stöter på en webbplats som inte ärkodas ordentligt.
Blandat aktivt innehåll vs blandat passivt innehåll
Det finns faktiskt två typer av blandat innehåll. Den farligare är "blandat aktivt innehåll" eller "blandat skript." Detta uppstår när en HTTPS-webbplats laddar en skriptfil över HTTP.Skriptfilen kan köra någon kod på den sida som den vill, så att ett skript laddas över en osäker anslutning förstör fullständigt säkerheten för den aktuella sidan. Webbläsare blockerar i allmänhet denna typ av blandat innehåll helt och hållet.
Den andra typen är "blandat passivt innehåll" eller "blandat visningsinnehåll." Detta inträffar när en HTTPS-webbplats laddar något som en bild eller en ljudfil över en HTTP-anslutning. Denna typ av innehåll kan inte förstöra sidans säkerhet på samma sätt, så webbläsare reagerar inte lika hårt. Det är dock fortfarande en dålig säkerhetspraxis som kan orsaka problem. Till exempel kan en angripare ersätta bilden med en vilseledande bild och manipulera med en teoretiskt säker sida. En begäran om bildbelastning innehåller också rubriker som innehåller cookieinformation som är kopplade till en webbplats, så att även ladda en bild över en osäker anslutning kan orsaka problem. Webbläsare visar ofta en varningsikon eller ett meddelande istället för att blockera innehållet helt, eftersom den här typen av blandat innehåll fortfarande är så vanligt på riktiga webbplatser. I Chrome ser du ett hänglås med en gul triangel.
Vad ska du göra när du ser ett varning för blandat innehåll
-webbläsare blockerar i allmänhet de farligaste typerna av blandat innehåll som standard. Avblockera inte det. Om du inte kan logga in på en webbplats eller ange betalningsuppgifter online utan att ladda in det blandade innehållet, ska du bara lämna webbplatsen och inte ange din information på en osäker webbplats. Låt webbplatsägare veta att deras webbplats är osäker och bruten.
Om du ser en varning om att en sida innehåller andra resurser som kanske inte är säkra, är det säkert säkert att logga in ändå.Det är inte ett bra tecken om en webbplats som är lika viktig som din bank har detta problem, men den här typen av blandad innehållsvarning är mycket vanligt.
Å andra sidan är blandade innehållsvarningar inte riktigt en stor sak om du använder en webbplats som inte behöver HTTPS.Alla varningsmeddelanden för blandat innehåll är att en webbsida garanterat kommer att dra nytta av HTTPS-säkerhet - med andra ord, i värsta fall är webbsidan du besöker så osäker som en vanlig HTTP-webbplats. Så om du åtkomst till en webbplats som Wikipedia bara för att läsa några artiklar och du såg en blandad varning, borde du inte behöva bry sig om det för mycket. I värsta fall är det lika osäkert som om du läste artiklar på Wikipedia via en vanlig HTTP-anslutning, som du inte skulle ha något problem att göra ändå.
Varför vissa webbsidor har detta problem
Du får bara se detta fel om det finns ett problem med hur en webbsida kodas. Om en webbsida serveras över HTTPS, bör den också använda HTTPS-protokollet för att dra in skriptfiler och annat innehåll som krävs. Webbutvecklare ska testa sina webbsidor och se till att de inte utlöser skrämmande varningar i användarnas webbläsare. Om du är en användare kan du inte göra något åt det här - det är upp till webbplatsägaren att fixa det.
Om du är en webbutvecklare är allt du behöver göra för att se till att dina HTTPS-sidor laddar innehåll från HTTPS-URL-adresser, inte HTTP-webbadresser. Ett sätt att göra detta är att göra hela din webbplats bara över SSL, så allting använder bara HTTPS.
Om du vill göra en sida som kan serveras via HTTP eller HTTPS och gör det rätta automatiskt kan du använda "protokollrelevanta webbadresser" för att användarens webbläsare automatiskt ska välja HTTP eller HTTPS, beroende på vilket protokoll användarenär ansluten till. Till exempel skulle en protokollrelativ URL för att ladda en bild se ut som & lt; img src = "//example.com/ image.png" & gt;.Webbläsaren lägger automatiskt till antingen http: eller https: till början av webbadressen, beroende på vad som är lämpligt. Naturligtvis måste du se till att webbplatsen du länkar till erbjuder resursen över både HTTP och HTTPS.
-webbläsare blockerar automatiskt blandat innehåll eller ditt skydd, och det är därför. Om du behöver använda en säker webbplats som inte fungerar korrekt om du inte aktiverar blandat innehåll ska webbplatsens ägare fixa det.