23Aug
"Bu sitenin güvensiz içeriği var;" "yalnızca güvenli içerik görüntüleniyor;" "Firefox, güvenli olmayan içeriği engelledi." Web'e göz atarken bu uyarılara ara sıra rastlamaktasınız, ancak tam olarak ne anlama geldikleri?
İki tür karışık içerik var - bir tanesi diğerinden daha kötü, ama ikisi de iyi değil. Karışık içerik uyarıları, ziyaret ettiğiniz bir web sayfasında bir şeylerin yanlış olduğunu gösteriyor.
Karma İçerik Nedir?
Bu, her şeyden önce HTTP ve HTTPS arasındaki farktır. HTTP en sık kullanılan bağlantı türüdür - HTTP protokolünü kullanarak bir web sitesini ziyaret ettiğinizde web sitesine olan bağlantınız güvence altına alınmaz. Trafiğe kulak misafiri olan herkes, görüntülediğiniz sayfayı ve ileri geri gönderdiğiniz verileri görebilir.
Bunun için tam anlamıyla "HTTP Güvenli" olan HTTPS'imiz var. HTTPS sizinle web sunucusu arasında güvenli bir bağlantı oluşturur. Bağlantı şifrelenir ve doğrulanır; bu nedenle hiç kimse trafiğinizi gizleyemez ve doğru web sitesine bağlı olduğunuzdan emin olabilirsiniz. Bu, hesap şifrelerini ve çevrimiçi ödeme verilerini güvence altına almak, kimsenin kulaklarını tıkamaması için son derece önemlidir.
Karma içerik uyarıları, HTTPS üzerinden erişmekte olduğunuz bir web sayfasındaki bir sorunu belirtir. HTTPS bağlantısı güvenli olmalı, ancak web sayfasının kaynak kodu, HTTPS değil, güvensiz HTTP protokolüyle diğer kaynakları çekiyor. Web tarayıcınızın adres çubuğu, HTTPS ile bağlı olduğunuzu söyleyebilir, ancak sayfa da arka planda güvensiz HTTP protokolüne sahip kaynakları yüklüyor demektir. Kullanmakta olduğunuz web sayfasının tamamen güvenli olmadığını bildiğinizden emin olmak için tarayıcılar, sayfanın hem HTTPS hem de HTTP içerikli karışık içeriğe sahip olduğunu belirten bir uyarı görüntüler, başka bir deyişle.
Neden Tehlikeli
İşte gerçekten tehlikeli. Bir ödeme sayfasındasınız ve kredi kartı numaranızı girmek üzere olduğunuzu varsayalım.Ödeme sayfası, bunun şifrelenmiş bir HTTPS bağlantısı olduğunu belirtir, ancak karışık bir içerik uyarısı görürsünüz. Bu kırmızı bir bayrak açmalıdır. Girdiğiniz ödeme ayrıntılarının, güvensiz içerik tarafından yakalanması ve güvenli olmayan bir bağlantı üzerinden gönderilmesi HTTPS güvenliğinin faydasını ortadan kaldırmak olabilir - birileri gizlice izleyebilir ve hassas verilerinizi görebilir.
HTTP, web sunucusunu HTTPS'nin yaptığı gibi kimlik doğrulaması yapmadığından, bir HTTP sitesinden bir komut dosyası çeken güvenli bir HTTPS sitesinin, bir saldırganın komut dosyasını çekip onu başka şekilde güvenli bir siteyle çalıştırması için kandırılacağı da mümkündür. HTTPS kullanıldığında, içeriğin değiştirilmediğinden ve meşru olduğundan daha fazla güvence altına alınırsınız.
Her iki durumda da, bu, güvenli bir HTTPS bağlantısına sahip olmanın avantajını ortadan kaldırır. Bir web sitesinin güvensiz bir içerik uyarısı olabilir ve yine de kişisel verilerinizi düzgün bir şekilde güvence altına almış olabilirsiniz, ancak gerçekten emin değiliz ve riski göze almamalıyız - bu yüzden web tarayıcıları sizi uyaran bir web sitesinde karşılaştıklarında sizi uyarmaktadır.doğru kodlanmış.
Karışık Aktif İçerik Karma Pasif İçerik
Aslında iki tür karışık içerik var. Daha tehlikeli olan "karışık aktif içerik" veya "karma kodlama" dır. Bu, bir HTTPS sitesi HTTP üzerinden bir komut dosyası yüklediğinde oluşur. Komut dosyası, istediği sayfada herhangi bir kodu çalıştırabilir, bu nedenle güvenli olmayan bir bağlantı üzerinden bir komut dosyası yüklemek geçerli sayfanın güvenliğini tamamen mahvediyor. Web tarayıcıları genellikle bu tür karışık içeriği tamamen engeller.
İkinci tür "karışık pasif içerik" veya "karışık görüntü içeriği" dir. Bu, bir HTTPS sitesi bir HTTP bağlantısı üzerinden resim veya ses dosyası gibi bir şey yüklediğinde gerçekleşir. Bu içerik türü, sayfanın güvenliğini aynı şekilde bozamaz; bu nedenle, web tarayıcıları sert davranırlar. Bununla birlikte, sorunlara neden olabilecek hâlâ kötü bir güvenlik uygulaması.Örneğin, bir saldırgan, imajı, teorik olarak güvenli bir sayfayı kurcalayan, yanıltıcı bir görüntü ile değiştirebilir. Bir resim yük talebi, web sitesi ile ilişkili çerez bilgisi içeren üstbilgiler içerdiğinden, güvensiz bir bağlantı üzerinden bir resim yüklemek bile sorunlara neden olabilir. Web tarayıcıları içeriği tamamen engellemeye değil, genellikle bir uyarı simgesi veya mesajı görüntüler; çünkü bu tür karışık içerik hala gerçek web sitelerinde çok yaygındır. Chrome'da, sarı bir üçgen içeren bir asma kilidi göreceksiniz.
Karma İçerik Gördüğünüzde Yapılması Gerekenler Uyarı
Web tarayıcıları genellikle en tehlikeli karışık içeriği varsayılan olarak engeller. Engellemeyi kaldırma. Karışık içeriği yüklemeden bir web sitesinde oturum açamazsanız veya çevrimiçi ödeme ayrıntıları girerseniz, web sitesini terk etmeniz ve bilgilerinizi güvensiz bir web sitesinde girmemeniz gerekir. Web sitesi sahiplerine sitelerini güvensiz ve kırılmış bulsunlar.
Bir sayfanın güvenli olmayabileceği diğer kaynaklar içerdiğine dair bir uyarı görürseniz, yine de yine de internete girmek güvenlidir. Bankanız kadar önemli olan bir web sitesinde bu sorunun olması iyi bir işaret değildir, ancak bu karma içerik uyarı türü çok yaygındır.
Öte yandan, HTTPS'ye gereksinim duymayan bir web sitesine erişiyorsanız, karışık içerik uyarıları gerçekten önemli değildir. Karışık içerik uyarı araçları, bir web sayfasının HTTPS güvenliğinden yararlanma garantisi - diğer bir deyişle, en kötü ihtimalle, ziyaret ettiğiniz web sayfası kadar standart bir HTTP sitesi kadar güvensiz olmasıdır. Dolayısıyla, sadece bazı makaleleri okumak için Vikipedi gibi bir web sitesine erişiyorsanız ve karma bir içerik uyarısı gördüyseniz, onu fazla önemsemeniz gerekir. En kötü senaryoda, Vikipedi'de standart HTTP bağlantısında makale okurken olduğu gibi güvende değilsiniz, bu da yine de sorun yaşamayacaktır.
Bazı Web Sayfalarında Bu Sorun Var Neden
Bu hatayı yalnızca bir web sayfasının kodlanması ile ilgili bir sorun varsa göreceksiniz. Bir web sayfası HTTPS üzerinden sunuluyorsa, komut dosyası ve ihtiyaç duyduğu diğer içerikleri çekmek için HTTPS protokolünü de kullanmalıdır. Web geliştiricileri, kullanıcıların tarayıcılarında korkunç görünümlü uyarıları tetiklememelerini sağlayarak web sayfalarını test etmelidir. Bir kullanıcıysanız, bu konuda hiçbir şey yapamazsınız - düzeltmek web sitesi sahibine kalmış.
Web geliştiricisiyseniz yapmanız gereken tek şey HTTPS sayfalarınızın HTTP URL'leri değil HTTPS URL'lerinden içerik yüklemesini sağlamaktır. Bunu yapmanın bir yolu, tüm web sitenizi yalnızca SSL üzerinden çalışır hale getirmektir; böylece her şey sadece HTTPS kullanır.
HTTP veya HTTPS üzerinden sunulabilen bir sayfa yapmak istiyorsanız ve doğru olanı otomatik olarak yaparsanız, kullanıcının tarayıcısının hangi protokole bağlı olarak uygun şekilde HTTP veya HTTPS'yi otomatik olarak seçmesini sağlamak için "protokol göreli URL'leri" kullanabilirsinizile bağlantılıÖrneğin, bir resmi yüklemek için protokole bağlı bir URL, & lt; img src = "//example.com/ image.png" & gt;.Tarayıcı, http: veya https: 'i URL'nin başlangıcına otomatik olarak ekleyecek, hangisi uygun olacaktır. Elbette bağladığınız sitenin hem HTTP hem de HTTPS üzerinden kaynak sağladığından emin olmanız gerekir.
Web tarayıcıları, karışık içeriği veya korumayı otomatik olarak engelliyor ve bu nedenle. Karışık içeriği etkinleştirmedikçe düzgün çalışmayan güvenli bir web sitesi kullanmanız gerekiyorsa, web sitesinin sahibi bunu düzeltmelidir.