"Dette websted har usikkert indhold;" "Kun sikkert indhold vises;" "Firefox har blokeret indhold, der ikke er sikkert." Du vil lejlighedsvis støde på disse advarsler, mens du surfer på nettet, men hvad betyder de præcist?
Der er to typer blandet indhold - den ene er værre end den anden, men ingen af dem er gode. Advarsler om blandet indhold indikerer, at der er noget galt med en webside, du besøger.
Hvad er blandet indhold?
RELATEREDE: Hvad er HTTPS, og hvorfor skal jeg bryde mig?
Alt dette kommer ned til forskellen mellem HTTP og HTTPS . HTTP er den mest anvendte type forbindelse - når du besøger et websted ved hjælp af HTTP-protokollen, er din forbindelse til webstedet ikke sikret. Enhver, der aflytter trafikken, kan se den side, du ser, og alle data, du sender frem og tilbage.
Derfor har vi HTTPS, som bogstaveligt talt er "HTTP Secure." HTTPS opretter en sikker forbindelse mellem dig og webserveren. Forbindelsen er krypteret og godkendt, så ingen kan snuse på din trafik, og du har en vis sikkerhed for, at du er forbundet til det rigtige websted. Dette er ekstremt vigtigt for at sikre kontoadgangskoder og online betalingsdata og sikre, at ingen kan aflytte dem.
Advarsler om blandet indhold angiver et problem med en webside, du får adgang til via HTTPS. HTTPS-forbindelsen skal være sikker, men websidens kildekode trækker andre ressourcer ind med den usikre HTTP-protokol, ikke HTTPS. Din webbrowsers adresselinje siger, at du er forbundet med HTTPS, men siden indlæser også ressourcer med den usikre HTTP-protokol i baggrunden. For at sikre, at du ved, at den webside, du bruger, ikke er helt sikker, viser browsere en advarsel, der siger, at siden har både HTTPS og HTTP-indhold - blandet indhold, med andre ord.
Hvorfor dette er farligt
RELATEREDE: Hvad er kryptering, og hvordan fungerer det?
Her er hvorfor dette faktisk er farligt. Lad os sige, at du er på en betalingsside, og at du er ved at indtaste dit kreditkortnummer. Betalingssiden angiver, at det er et krypteret HTTPS-forbindelse, men du ser en advarsel om blandet indhold. Dette skulle hæve et rødt flag. Det er muligt, at de betalingsoplysninger, du indtaster, kan fanges af det usikre indhold og sendes via en usikker forbindelse, hvilket fjerner fordelen ved HTTPS-sikkerhed - nogen kan aflytte og se dine følsomme data.
Da HTTP ikke godkender webserveren på samme måde som HTTPS, er det også muligt, at et sikkert HTTPS-sted, der trækker et script fra et HTTP-sted, kan blive narret til at trække en angribers script og køre det på det ellers sikre websted. Når HTTPS bruges, har du flere forsikringer om, at indholdet ikke blev manipuleret med og er legitimt.
I begge tilfælde eliminerer dette fordelen ved at have en sikker HTTPS-forbindelse. Det er muligt, at et websted kan have en usikker advarsel om indhold og stadig sikre dine personlige data ordentligt, men vi ved det virkelig ikke med sikkerhed og bør ikke tage risikoen - det er derfor, webbrowsere advarer dig, når du støder på et websted, der ikke er kodet korrekt.
Blandet aktivt indhold vs. blandet passivt indhold
Der er faktisk to typer blandet indhold. Den mere farlige er "blandet aktivt indhold" eller "blandet scripting." Dette sker, når et HTTPS-websted indlæser en scriptfil over HTTP. Scriptfilen kan køre en hvilken som helst kode på den side, den vil, så indlæsning af et script over en usikker forbindelse ødelægger fuldstændigt sikkerheden på den aktuelle side. Webbrowsere blokerer generelt denne type blandet indhold fuldstændigt.
Den anden type er "blandet passivt indhold" eller "blandet displayindhold." Dette sker, når et HTTPS-websted indlæser noget som et billede eller en lydfil over en HTTP-forbindelse. Denne type indhold kan ikke ødelægge sidens sikkerhed på samme måde, så webbrowsere reagerer ikke så hårdt. Det er dog stadig en dårlig sikkerhedspraksis, der kan forårsage problemer. For eksempel kan en hacker erstatte billedet med et vildledende billede og manipulere med en teoretisk sikker side. En billedindlæsningsanmodning indeholder også overskrifter, der indeholder cookieoplysninger tilknyttet et websted, så selv indlæsning af et billede over en usikker forbindelse kan forårsage problemer. Webbrowsere viser ofte et advarselsikon eller en besked i stedet for at blokere indholdet helt, da denne type blandet indhold stadig er så almindelig på ægte websteder. I Chrome ser du en hængelås med en gul trekant.
Hvad skal du gøre, når du ser en advarsel om blandet indhold
Webbrowsere blokerer normalt de farligste typer blandet indhold som standard. Fjern ikke blokeringen af den. Hvis du ikke kan logge ind på et websted eller indtaste onlinebetalingsoplysninger uden at indlæse det blandede indhold, skal du bare forlade webstedet og ikke indtaste dine oplysninger på et usikkert websted. Lad webstedsejerne vide, at deres side er usikker og ødelagt.
Hvis du ser en advarsel om, at en side indeholder andre ressourcer, der muligvis ikke er sikre, er det sandsynligvis sikkert at logge ind alligevel. Det er ikke et godt tegn, hvis et så vigtigt websted som din bank har dette problem, men denne type advarsel om blandet indhold er meget almindelig.
På den anden side er advarsler om blandet indhold ikke rigtig en stor ting, hvis du åbner et websted, der ikke har brug for HTTPS. Alt, hvad en advarsel om blandet indhold betyder, er, at en webside garanteret drager fordel af HTTPS-sikkerhed - med andre ord, i værste fald er den webside, du besøger, lige så usikker som et standard HTTP-sted. Så hvis du åbnede et websted som Wikipedia bare for at læse nogle artikler, og du så en advarsel om blandet indhold, behøver du ikke være ligeglad med det for meget. I værste fald er det lige så usikkert som om du læste artikler på Wikipedia over en standard HTTP-forbindelse, som du alligevel ikke havde noget problem med at gøre.
Hvorfor nogle websider har dette problem
Du får kun vist denne fejl, hvis der er et problem med den måde, en webside er kodet på. Hvis en webside serveres via HTTPS, skal den også bruge HTTPS-protokollen til at hente scriptfiler og andet indhold, det kræver. Webudviklere bør teste deres websider og sikre, at de ikke udløser skræmmende advarsler i brugernes browsere. Hvis du er bruger, kan du ikke rigtig gøre noget ved det - det er op til webstedejeren at rette det.
Hvis du er en webudvikler, er alt, hvad du skal gøre, at sikre, at dine HTTPS-sider indlæser indhold fra HTTPS-URL'er, ikke HTTP-URL'er. En måde at gøre dette på er ved at få hele dit websted til at fungere over SSL, så alt bruger bare HTTPS.
Hvis du vil oprette en side, der kan serveres via HTTP eller HTTPS og gør det rigtige automatisk, kan du bruge "protokolrelaterede URL'er" til at få brugerens browser til automatisk at vælge HTTP eller HTTPS efter behov, afhængigt af hvilken protokol brugeren er forbundet med. For eksempel vil en protokolrelativ URL til at indlæse et billede se ud <img src = ”// eksempel.com/billede.png”> . Browseren tilføjer automatisk enten http: eller https: til starten af URL'en, alt efter hvad der er passende. Selvfølgelig skal du sikre, at det websted, du linker til, tilbyder ressourcen via både HTTP og HTTPS.
Webbrowsere blokerer automatisk blandet indhold eller din beskyttelse, og det er derfor. Hvis du har brug for et sikkert websted, der ikke fungerer korrekt, medmindre du aktiverer blandet indhold, skal webstedets ejer rette det.
