„Tento web má nezabezpečený obsah;“ „Je zobrazen pouze zabezpečený obsah;“ „Firefox zablokoval nezabezpečený obsah.“ S těmito varováními se při procházení webu občas setkáte, ale co přesně znamenají?
Existují dva typy smíšeného obsahu - jeden je horší než druhý, ale ani jeden není dobrý. Varování ohledně smíšeného obsahu naznačují, že s webovou stránkou, kterou navštěvujete, není něco v pořádku.
Co je smíšený obsah?
PŘÍBUZNÝ: Co je HTTPS a proč bych se měl starat?
To vše se děje rozdíl mezi HTTP a HTTPS . HTTP je nejčastěji používaný typ připojení - když navštívíte web pomocí protokolu HTTP, vaše připojení k webu není zabezpečené. Kdokoli, kdo odposlouchává provoz, může zobrazit stránku, kterou prohlížíte, a veškerá data, která posíláte tam a zpět.
Proto máme HTTPS, což je doslova „HTTP Secure“. HTTPS vytváří zabezpečené připojení mezi vámi a webovým serverem. Připojení je šifrované a ověřené, takže nikdo nemůže sledovat váš provoz a máte jistotu, že jste připojeni ke správnému webu. To je nesmírně důležité pro zabezpečení hesel účtů a online platebních údajů, aby nikdo nemohl odposlouchávat.
Varování ohledně smíšeného obsahu označují problém s webovou stránkou, na kterou přistupujete přes HTTPS. Připojení HTTPS by mělo být zabezpečené, ale zdrojový kód webové stránky načítá další zdroje pomocí nezabezpečeného protokolu HTTP, nikoli HTTPS. V adresním řádku vašeho webového prohlížeče bude uvedeno, že jste připojeni k HTTPS, ale stránka také načítá zdroje s nezabezpečeným protokolem HTTP na pozadí. Abychom věděli, že webová stránka, kterou používáte, není úplně zabezpečená, prohlížeče zobrazí varování, že tato stránka má obsah HTTPS i HTTP - jinými slovy smíšený obsah.
Proč je to nebezpečné
PŘÍBUZNÝ: Co je šifrování a jak funguje?
Zde je důvod, proč je to skutečně nebezpečné. Řekněme, že jste na stránce plateb a chystáte se zadat číslo své kreditní karty. Stránka platby označuje, že šifrované Připojení HTTPS, ale zobrazí se upozornění na smíšený obsah. To by mělo zvednout červenou vlajku. Je možné, že zadané platební údaje mohou být zachyceny nezabezpečeným obsahem a odeslány přes nezabezpečené připojení, čímž se odstraní výhoda zabezpečení HTTPS - někdo může odposlouchávat a vidět vaše citlivá data.
Protože HTTP neověřuje webový server stejným způsobem jako HTTPS, je také možné, že zabezpečený web HTTPS, který načte skript z webu HTTP, by mohl být podveden tak, že vytáhne skript útočníka a spustí jej na jinak zabezpečeném webu. Při použití protokolu HTTPS máte více záruk, že s obsahem nebylo manipulováno a je legitimní.
V obou případech to vylučuje výhodu bezpečného připojení HTTPS. Je možné, že web může obsahovat varování o nezabezpečeném obsahu a stále správně zabezpečit vaše osobní údaje, ale opravdu nevíme jistě a neměli bychom riskovat - proto vás webové prohlížeče varují, když narazíte na web, který není správně kódováno.
Smíšený aktivní obsah vs. smíšený pasivní obsah
Ve skutečnosti existují dva typy smíšeného obsahu. Tou nebezpečnější je „smíšený aktivní obsah“ nebo „smíšené skriptování“. K tomu dochází, když web HTTPS načte soubor skriptu přes HTTP. Soubor skriptu může spustit libovolný kód na stránce, kterou chce, takže načtení skriptu přes nezabezpečené připojení zcela zničí zabezpečení aktuální stránky. Webové prohlížeče tento typ smíšeného obsahu obecně úplně blokují.
Druhým typem je „smíšený pasivní obsah“ nebo „smíšený obsah zobrazení“. K tomu dochází, když web HTTPS načte něco jako obrazový nebo zvukový soubor přes připojení HTTP. Tento typ obsahu nemůže zničit zabezpečení stránky stejným způsobem, takže webové prohlížeče nereagují tak ostře. Stále je to však špatná bezpečnostní praxe, která by mohla způsobit problémy. Útočník by například mohl nahradit obrázek zavádějícím a manipulovat s teoreticky zabezpečenou stránkou. Žádost o načtení obrázku obsahuje také záhlaví, která obsahují informace o souborech cookie spojené s webem, takže i načtení obrázku přes nezabezpečené připojení může způsobit problémy. Webové prohlížeče často zobrazují varovnou ikonu nebo zprávu namísto úplného blokování obsahu, protože tento typ smíšeného obsahu je na skutečných webech stále tak běžný. V prohlížeči Chrome uvidíte visací zámek se žlutým trojúhelníkem.
Co dělat, když uvidíte varování ohledně smíšeného obsahu
Webové prohlížeče ve výchozím nastavení obvykle blokují nejnebezpečnější typy smíšeného obsahu. Neodblokujte to. Pokud se nemůžete přihlásit na web nebo zadat online platební údaje bez načtení smíšeného obsahu, měli byste web jednoduše opustit a nezadávat své údaje na nezabezpečený web. Sdělte majitelům webových stránek, že jejich stránky jsou nezabezpečené a poškozené.
Pokud uvidíte varování, že stránka obsahuje jiné zdroje, které nemusí být zabezpečené, je pravděpodobně stejně bezpečné se přihlásit. Není to dobré znamení, pokud má tento problém tak důležitý web jako vaše banka, ale tento typ upozornění na smíšený obsah je velmi častý.
Na druhou stranu, upozornění na smíšený obsah nejsou opravdu velký problém, pokud přistupujete na web, který nepotřebuje HTTPS. Všechna varování týkající se smíšeného obsahu znamenají, že webová stránka zaručeně těží ze zabezpečení HTTPS - jinými slovy, v nejhorším případě je webová stránka, kterou navštěvujete, stejně nebezpečná jako standardní web HTTP. Pokud jste tedy přistupovali na web, jako je Wikipedia, jen abyste si přečetli nějaké články, a zobrazilo se vám upozornění na smíšený obsah, nemělo by vás to příliš zajímat. V nejhorším případě je to stejně nejisté, jako byste četli články na Wikipedii přes standardní připojení HTTP, což byste stejně neměli problém.
Proč mají některé webové stránky tento problém
Tato chyba se zobrazí pouze v případě, že je problém se způsobem kódování webové stránky. Pokud je webová stránka poskytována přes HTTPS, měla by také používat protokol HTTPS k načítání souborů skriptů a dalšího požadovaného obsahu. Weboví vývojáři by měli otestovat své webové stránky a zajistit, aby nespouštěli strašidelně vypadající varování v prohlížečích uživatelů. Pokud jste uživatel, nemůžete s tím opravdu nic dělat - je na vlastníkovi webu, aby to napravil.
Pokud jste webový vývojář, vše, co musíte udělat, je zajistit, aby vaše stránky HTTPS načítaly obsah z adres URL HTTPS, nikoli z adres URL HTTP. Jedním ze způsobů, jak to udělat, je zajistit, aby celý váš web fungoval pouze přes SSL, takže vše používá pouze HTTPS.
Pokud chcete vytvořit stránku, která může být zobrazována přes HTTP nebo HTTPS a dělá správnou věc automaticky, můžete použít „relativní adresy URL protokolu“, aby prohlížeč uživatele automaticky zvolil HTTP nebo HTTPS podle toho, v jakém protokolu je uživatel spojeno s. Například relativní adresa URL protokolu k načtení obrázku bude vypadat <img src = ”// example.com/obrazek.png”> . Prohlížeč automaticky přidá na začátek adresy URL buď http: nebo https: Samozřejmě budete muset zajistit, aby web, na který odkazujete, nabízel zdroj přes HTTP i HTTPS.
Webové prohlížeče automaticky blokují smíšený obsah nebo vaši ochranu, a proto. Pokud potřebujete použít zabezpečený web, který nefunguje správně, pokud nepovolíte smíšený obsah, měl by to opravit vlastník webu.
