מהי בדיוק אזהרת תוכן מעורב?

תוכן ללא הכנסה

"באתר זה יש תוכן לא בטוח;" "מוצג רק תוכן מאובטח;" "Firefox חסם תוכן שאינו מאובטח." מדי פעם תתקל באזהרות אלה בעת גלישה באינטרנט, אך מה פירושן בדיוק?

ישנם שני סוגים של תוכן מעורב - האחד גרוע יותר מהשני, אך אף אחד מהם אינו טוב. אזהרות על תוכן מעורב מעידות על כך שמשהו אינו כשורה בדף אינטרנט בו אתה מבקר.

מהו תוכן מעורב?

קָשׁוּר: מה זה HTTPS, ולמה אכפת לי?

כל זה מסתכם ב ההבדל בין HTTP ו- HTTPS . HTTP הוא סוג החיבור הנפוץ ביותר - כאשר אתה מבקר באתר באמצעות פרוטוקול HTTP, החיבור שלך לאתר אינו מאובטח. כל אחד שמאזין לתנועה יכול לראות את הדף שאתה צופה וכל הנתונים שאתה שולח הלוך ושוב.

לכן יש לנו HTTPS, שהוא ממש "HTTP Secure". HTTPS יוצר חיבור מאובטח בינך לבין שרת האינטרנט. החיבור מוצפן ומאומת, כך שאף אחד לא יכול לחטט בתנועה שלך ויש לך ביטחון מסוים שאתה מחובר לאתר הנכון. זה חשוב ביותר לאבטחת סיסמאות חשבון ונתוני תשלום מקוונים, כדי להבטיח שאף אחד לא יכול לצותת להם.

אזהרות תוכן מעורב מצביעות על בעיה בדף אינטרנט אליו נכנסת באמצעות HTTPS. חיבור ה- HTTPS צריך להיות מאובטח, אך קוד המקור של דף האינטרנט שואב משאבים אחרים באמצעות פרוטוקול HTTP לא מאובטח, ולא HTTPS. בסרגל הכתובות של דפדפן האינטרנט שלך כתוב שאתה מחובר ל- HTTPS, אך הדף טוען גם משאבים כשברקע פרוטוקול ה- HTTP הלא מאובטח. כדי להבטיח שאתה יודע שדף האינטרנט שאתה משתמש בו אינו מאובטח לחלוטין, הדפדפנים מציגים אזהרה האומרת כי הדף מכיל תוכן HTTPS וגם HTTP - תוכן מעורב, במילים אחרות.

למה זה מסוכן

קָשׁוּר: מהי הצפנה, ואיך זה עובד?

הנה הסיבה שזה בעצם מסוכן. נניח שאתה נמצא בדף תשלום ועומד להזין את מספר כרטיס האשראי שלך. דף התשלום מציין שזה א מוצפן חיבור HTTPS, אך אתה רואה אזהרת תוכן מעורב. זה אמור להניף דגל אדום. יתכן שפרטי התשלום שתזין יוכלו להילכד על ידי התוכן הלא בטוח ולשלוח אותם דרך חיבור לא מאובטח, וכך להסיר את היתרון של אבטחת HTTPS - מישהו יכול לצותת ולראות את הנתונים הרגישים שלך.

מכיוון ש- HTTP אינו מאמת את שרת האינטרנט באותה צורה ש- HTTPS עושה, ייתכן גם שאתר HTTPS מאובטח המושך סקריפט מאתר HTTP יכול להטעות אותו למשוך את סקריפט התוקף ולהריץ אותו באתר המאובטח אחרת. כאשר נעשה שימוש ב- HTTPS, יש לך יותר הבטחות שהתוכן לא טופל והינו לגיטימי.

בשני המקרים הדבר מבטל את היתרון שיש בחיבור HTTPS מאובטח. יתכן שבאתר יכול להיות אזהרת תוכן לא מאובטחת ועדיין לאבטח את הנתונים האישיים שלך כראוי, אבל אנחנו באמת לא יודעים בוודאות ולא צריך לקחת את הסיכון - זו הסיבה שדפדפני האינטרנט מזהירים אותך כשאתה נתקל באתר שאינו מקודד כראוי.

תוכן פעיל מעורב לעומת תוכן פסיבי מעורב

ישנם למעשה שני סוגים של תוכן מעורב. המסוכן יותר הוא "תוכן פעיל מעורב" או "תסריט מעורב". זה קורה כאשר אתר HTTPS טוען קובץ סקריפט באמצעות HTTP. קובץ הסקריפט יכול להריץ כל קוד בדף שהוא רוצה, ולכן טעינת סקריפט על חיבור לא בטוח הורסת לחלוטין את האבטחה של הדף הנוכחי. דפדפני אינטרנט בדרך כלל חוסמים סוג זה של תוכן מעורב לחלוטין.

הסוג השני הוא "תוכן פסיבי מעורב" או "תוכן תצוגה מעורב". זה קורה כאשר אתר HTTPS טוען משהו כמו תמונה או קובץ שמע דרך חיבור HTTP. סוג תוכן זה לא יכול להרוס את אבטחת הדף באותו אופן, כך שדפדפני האינטרנט אינם מגיבים בצורה קשה. עם זאת, זה עדיין נוהג אבטחה גרוע שעלול לגרום לבעיות. לדוגמא, תוקף יכול להחליף את התמונה בתמונה מטעה, ולהתעסק בדף מאובטח תיאורטית. בקשת טעינת תמונה מכילה גם כותרות המכילות מידע על קובצי cookie המשויכים לאתר, כך שגם טעינת תמונה על חיבור לא בטוח עלולה לגרום לבעיות. דפדפני אינטרנט לעיתים קרובות מציגים סמל אזהרה או הודעת במקום לחסום את התוכן לחלוטין, מכיוון שתוכן מעורב מסוג זה עדיין נפוץ כל כך באתרים אמיתיים. ב- Chrome תראה מנעול עם משולש צהוב.

מה לעשות כשרואים אזהרת תוכן מעורב

דפדפני אינטרנט בדרך כלל חוסמים את הסוגים המסוכנים ביותר של תוכן מעורב כברירת מחדל. אל תבטל את החסימה. אם אינך יכול להיכנס לאתר או להזין פרטי תשלום מקוונים מבלי לטעון את התוכן המעורב, עליך פשוט לעזוב את האתר ולא להזין את המידע שלך באתר לא מאובטח. ספר לבעלי האתרים שהאתר שלהם אינו מאובטח ושבור.

אם אתה רואה אזהרה שעמוד מכיל משאבים אחרים שאולי אינם מאובטחים, ככל הנראה בטוח להתחבר בכל מקרה. זה לא סימן טוב אם לאתר כזה חשוב כמו הבנק שלך יש בעיה זו, אך אזהרת תוכן מעורב מסוג זה נפוצה מאוד.

מצד שני, אזהרות תוכן מעורב אינן ממש עניין גדול אם אתה ניגש לאתר שאינו זקוק ל- HTTPS. כל המשמעות של אזהרת תוכן מעורב היא שדף אינטרנט המובטח ייהנה מאבטחת HTTPS - במילים אחרות, במקרה הגרוע ביותר, דף האינטרנט שאתה מבקר לא בטוח כמו אתר HTTP רגיל. לכן, אם היית ניגש לאתר כמו ויקיפדיה רק ​​כדי לקרוא כמה מאמרים וראית אזהרת תוכן מעורב, אתה לא צריך לדאוג לזה יותר מדי. בתרחיש הגרוע ביותר, זה חסר ביטחון בדיוק כאילו קראת מאמרים בוויקיפדיה באמצעות חיבור HTTP רגיל, שבכל מקרה לא תהיה לך שום בעיה לעשות זאת.

מדוע לדפים מסוימים יש בעיה זו

תראה שגיאה זו רק אם יש בעיה באופן קידוד דף אינטרנט. אם דף אינטרנט מוגש באמצעות HTTPS, עליו להשתמש בפרוטוקול HTTPS כדי לשלוף קבצי סקריפט ותוכן אחר הנדרש. מפתחי אתרים צריכים לבדוק את דפי האינטרנט שלהם, ולהבטיח שהם לא יפעילו אזהרות מפחידות בדפדפני המשתמשים. אם אתה משתמש, אתה לא באמת יכול לעשות שום דבר בקשר לזה - על בעל האתר לתקן זאת.

אם אתה מפתח אתרים, כל שעליך לעשות הוא להבטיח שדפי HTTPS שלך טוענים תוכן מכתובות HTTPS, ולא מכתובות HTTP. אחת הדרכים לעשות זאת היא על ידי כך שהאתר כולו יעבוד רק על SSL, כך שהכל רק משתמש ב- HTTPS.

אם ברצונך ליצור דף שניתן להגיש באמצעות HTTP או HTTPS ועושה את הדבר הנכון באופן אוטומטי, תוכל להשתמש ב"כתובות אתרים יחסית "כדי שהדפדפן של המשתמש יבחר באופן אוטומטי ב- HTTP או HTTPS בהתאם, בהתאם לפרוטוקול המשתמש. מחובר עם. לדוגמה, כתובת URL יחסית לפרוטוקול לטעינת תמונה תיראה <img src = ”// example.com/image.png”> . הדפדפן יוסיף באופן אוטומטי את http: או את https: לתחילת כתובת ה- URL, המתאים. כמובן שתצטרך לוודא שהאתר שאליו אתה מקשר מציע את המשאב הן ב- HTTP והן ב- HTTPS.

---

דפדפני האינטרנט חוסמים אוטומטית תוכן מעורב או את ההגנה שלך, וזו הסיבה. אם אתה צריך להשתמש באתר מאובטח שאינו פועל כראוי, אלא אם כן אתה מפעיל תוכן מעורב, על בעל האתר לתקן זאת.