"Tällä sivustolla on epävarmaa sisältöä;" "Vain suojattu sisältö näytetään;" "Firefox on estänyt suojaamattoman sisällön." Löydät ajoittain näitä varoituksia selatessasi Internetiä, mutta mitä ne tarkalleen tarkoittavat?
Sekoitettua sisältöä on kahta tyyppiä - toinen on huonompi kuin toinen, mutta kumpikaan ei ole hyvä. Sekasisältövaroitukset osoittavat, että vierailemallasi verkkosivulla on jotain vikaa.
Mikä on sekoitettu sisältö?
LIITTYVÄT: Mikä on HTTPS ja miksi minun pitäisi huolehtia?
Tämä kaikki tulee alas ero HTTP: n ja HTTPS: n välillä . HTTP on yleisimmin käytetty yhteystyyppi - kun vierailet verkkosivustolla HTTP-protokollan avulla, yhteyttä verkkosivustoon ei ole suojattu. Kuka tahansa salakuunteleva liikenne voi nähdä katselemasi sivun ja kaikki lähettämäsi tiedot edestakaisin.
Siksi meillä on HTTPS, joka on kirjaimellisesti "HTTP Secure". HTTPS luo suojatun yhteyden sinun ja verkkopalvelimen välille. Yhteys on salattu ja todennettu, joten kukaan ei voi seurata liikennettäsi ja olet varma, että olet yhteydessä oikeaan verkkosivustoon. Tämä on erittäin tärkeää tilin salasanojen ja verkkomaksutietojen turvaamiseksi, jotta kukaan ei voi kuunnella niitä.
Sekasisältövaroitukset osoittavat ongelman verkkosivulla, jota käytät HTTPS: n kautta. HTTPS-yhteyden tulisi olla suojattu, mutta verkkosivun lähdekoodi hankkii muita resursseja, joissa on suojaamaton HTTP-protokolla, ei HTTPS. Verkkoselaimesi osoiterivillä sanotaan, että olet yhteydessä HTTPS: ään, mutta sivu lataa myös resursseja, joiden taustalla on suojaamaton HTTP-protokolla. Varmistaaksesi, että käyttämäsi verkkosivu ei ole täysin suojattu, selaimet näyttävät varoituksen, jonka mukaan sivulla on sekä HTTPS- että HTTP-sisältöä - toisin sanoen sekoitettua sisältöä.
Miksi tämä on vaarallista
LIITTYVÄT: Mikä on salaus ja miten se toimii?
Tästä syystä tämä on todella vaarallista. Oletetaan, että olet maksusivulla ja aiot antaa luottokorttisi numeron. Maksusivu osoittaa, että se on a salattu HTTPS-yhteys, mutta näet sekoitetun sisällön varoituksen. Tämän pitäisi nostaa punainen lippu. On mahdollista, että antamasi maksutiedot voidaan kaapata epävarmaan sisältöön ja lähettää epävarman yhteyden kautta, mikä poistaa HTTPS-suojauksen edut - joku voi salakuunnella ja nähdä arkaluontoiset tietosi.
Koska HTTP ei todenna verkkopalvelinta samalla tavalla kuin HTTPS, on myös mahdollista, että suojattu HTTPS-sivusto, joka vetää komentosarjan HTTP-sivustolta, voidaan huijata vetämään hyökkääjän komentosarja ja suorittamaan se muuten suojatulla sivustolla. Kun käytetään HTTPS: ää, sinulla on enemmän takeita siitä, että sisältöä ei ole muutettu ja että se on laillista.
Molemmissa tapauksissa tämä eliminoi suojatun HTTPS-yhteyden edut. On mahdollista, että verkkosivustolla voi olla epävarma sisällön varoitus ja silti suojata henkilötietosi oikein, mutta emme todellakaan tiedä varmasti ja meidän ei pitäisi ottaa riskiä - siksi verkkoselaimet varoittavat sinua, kun törmäät verkkosivustoon, joka ei ole koodattu oikein.
Sekoitettu aktiivinen sisältö vs. sekoitettu passiivinen sisältö
Sekoitettua sisältöä on oikeastaan kahdenlaisia. Vaarallisempi on "sekoitettu aktiivinen sisältö" tai "sekoitettu komentosarja". Tämä tapahtuu, kun HTTPS-sivusto lataa komentotiedoston HTTP: n kautta. Komentosarjatiedosto voi suorittaa minkä tahansa koodin haluamallaan sivulla, joten komentosarjan lataaminen epävarmaan yhteyteen pilaa täysin nykyisen sivun turvallisuuden. Verkkoselaimet estävät yleensä tämän tyyppisen sekoitetun sisällön kokonaan.
Toinen tyyppi on "sekoitettu passiivinen sisältö" tai "sekoitettu näyttösisältö". Tämä tapahtuu, kun HTTPS-sivusto lataa jotain kuvaa tai äänitiedostoa HTTP-yhteyden kautta. Tämäntyyppinen sisältö ei voi pilata sivun turvallisuutta samalla tavalla, joten verkkoselaimet eivät reagoi niin ankarasti. Se on kuitenkin edelleen huono turvallisuuskäytäntö, joka voi aiheuttaa ongelmia. Hyökkääjä voi esimerkiksi korvata kuvan harhaanjohtavalla kuvalla, peukalolla teoreettisesti suojatulla sivulla. Kuvan latauspyyntö sisältää myös otsikot, jotka sisältävät verkkosivustoon liittyviä evästetietoja, joten jopa kuvan lataaminen epävarmaan yhteyteen voi aiheuttaa ongelmia. Verkkoselaimet näyttävät usein varoituskuvakkeen tai viestin sen sijaan, että estävät sisällön kokonaan, koska tällainen sekasisältö on edelleen niin yleistä todellisilla verkkosivustoilla. Chromessa näet riippulukon, jossa on keltainen kolmio.
Mitä tehdä, kun näet sekoitettua sisältöä koskevan varoituksen
Verkkoselaimet estävät yleensä oletusarvoisesti vaarallisimmat sekoitetun sisällön tyypit. Älä vapauta sitä. Jos et voi kirjautua verkkosivustolle tai syöttää verkkomaksutietoja lataamatta sekoitettua sisältöä, sinun tulee vain poistua verkkosivustolta eikä kirjoittaa tietojasi suojaamattomalle verkkosivustolle. Kerro verkkosivustojen omistajille, että heidän sivustonsa on epävarma ja rikki.
Jos näet varoituksen siitä, että sivu sisältää muita resursseja, jotka eivät välttämättä ole turvallisia, sisäänkirjautuminen on todennäköisesti turvallista. Se ei ole hyvä merkki, jos pankkisi kanssa yhtä tärkeällä verkkosivustolla on tämä ongelma, mutta tällainen sekasisältövaroitus on hyvin yleinen.
Toisaalta sekasisältövaroitukset eivät todellakaan ole iso juttu, jos käytät verkkosivustoa, joka ei tarvitse HTTPS: ää. Yhdistelmäsisältövaroitus tarkoittaa vain sitä, että verkkosivu, jolle taataan HTTPS-suojaus - toisin sanoen, pahimmassa tapauksessa vierailemasi verkkosivu on yhtä epävarma kuin tavallinen HTTP-sivusto. Joten jos olet siirtynyt Wikipedian kaltaiselle verkkosivustolle vain lukemaan joitain artikkeleita ja näet sekoitetun sisällön varoituksen, sinun ei pitäisi olla huolissasi siitä liikaa. Pahimmassa tapauksessa se on yhtä epävarmaa kuin jos lukisit Wikipedian artikkeleita tavallisen HTTP-yhteyden kautta, jota sinun ei silti ole mitään syytä tehdä.
Miksi joillakin verkkosivuilla on tämä ongelma
Näet tämän virheen vain, jos verkkosivun koodauksessa on ongelma. Jos verkkosivua tarjotaan HTTPS: n kautta, sen tulisi myös käyttää HTTPS-protokollaa hakemistotiedostojen ja muun tarvittavan sisällön hakemiseen. Verkkokehittäjien tulisi testata verkkosivujaan varmistaen, että ne eivät laukaise pelottavan näköisiä varoituksia käyttäjien selaimissa. Jos olet käyttäjä, et voi oikeastaan tehdä mitään asialle - sivuston omistaja voi korjata ongelman.
Jos olet verkkokehittäjä, sinun tarvitsee vain varmistaa, että HTTPS-sivusi lataavat sisältöä HTTPS-URL-osoitteista, ei HTTP-URL-osoitteista. Yksi tapa tehdä se on saada koko verkkosivustosi toimimaan vain SSL: n kautta, joten kaikki käyttää vain HTTPS: ää.
Jos haluat tehdä sivun, jota voidaan palvella HTTP: n tai HTTPS: n kautta ja joka tekee oikean asian automaattisesti, voit käyttää "protokollan suhteellisia URL-osoitteita", jotta käyttäjän selain valitsee automaattisesti HTTP: n tai HTTPS: n sen mukaan, mikä protokolla käyttäjä on liittyy. Esimerkiksi protokollan suhteellinen URL-osoite kuvan lataamiseksi näyttäisi <img src = ”// esimerkki.com/kuva.png”> . Selain lisää URL-osoitteen alkuun automaattisesti joko http: tai https: sen mukaan, mikä on sopivaa. Tietenkin sinun on varmistettava, että sivusto, johon linkität, tarjoaa resurssin sekä HTTP: n että HTTPS: n kautta.
Verkkoselaimet estävät automaattisesti sekoitetun sisällön tai suojauksen, ja siksi. Jos sinun on käytettävä suojattua verkkosivustoa, joka ei toimi oikein, ellet ota käyttöön sekoitettua sisältöä, verkkosivuston omistajan on korjattava se.
