"इस साइट में असुरक्षित सामग्री है;" "सिर्फ सुरक्षित विषय वस्तु ही दिखाई गयी है;" "फ़ायरफ़ॉक्स ने ऐसी सामग्री को अवरुद्ध कर दिया है जो सुरक्षित नहीं है।" वेब ब्राउज़ करते समय आप कभी-कभी इन चेतावनियों पर आ जाते हैं, लेकिन वास्तव में उनका क्या मतलब है?
मिश्रित सामग्री दो प्रकार की होती है - एक दूसरे की तुलना में खराब होती है, लेकिन न तो अच्छी होती है। मिश्रित सामग्री चेतावनी इस बात के संकेत हैं कि आपके द्वारा देखे जा रहे वेब पेज में कुछ गड़बड़ है।
मिश्रित सामग्री क्या है?
सम्बंधित: HTTPS क्या है, और मुझे क्यों ध्यान रखना चाहिए?
यह सब करने के लिए नीचे आता है HTTP और HTTPS के बीच का अंतर । HTTP सबसे अधिक इस्तेमाल किया जाने वाला प्रकार है - जब आप HTTP प्रोटोकॉल का उपयोग करके किसी वेबसाइट पर जाते हैं, तो वेबसाइट से आपका कनेक्शन सुरक्षित नहीं होता है। ट्रैफ़िक पर किसी के भी ईगल करने से आप जिस पेज को देख रहे हैं उसे देख सकते हैं और कोई भी डेटा जिसे आप आगे और पीछे भेज रहे हैं।
इसलिए हमारे पास HTTPS है, जिसका शाब्दिक अर्थ है "HTTP Secure"। HTTPS आपके और वेब सर्वर के बीच एक सुरक्षित संबंध बनाता है। कनेक्शन एन्क्रिप्टेड और ऑथेंटिकेटेड है, इसलिए कोई भी आपके ट्रैफ़िक को स्नूप नहीं कर सकता है और आपके पास कुछ आश्वासन हैं जो आप सही वेबसाइट से जुड़े हैं। यह खाता पासवर्ड और ऑनलाइन भुगतान डेटा हासिल करने के लिए बेहद महत्वपूर्ण है, यह सुनिश्चित करता है कि कोई भी उन पर ध्यान नहीं दे सकता है।
मिश्रित सामग्री चेतावनियाँ उस वेब पेज के साथ एक समस्या का संकेत देती हैं जिस पर आप HTTPS तक पहुँच रहे हैं। HTTPS कनेक्शन सुरक्षित होना चाहिए, लेकिन वेब पेज का सोर्स कोड असुरक्षित HTTP प्रोटोकॉल के साथ अन्य संसाधनों में खींच रहा है, HTTPS नहीं। आपके वेब ब्राउज़र का पता बार आपको HTTPS से जुड़ा हुआ कहेगा, लेकिन पृष्ठ पृष्ठभूमि में असुरक्षित HTTP प्रोटोकॉल के साथ संसाधनों को लोड कर रहा है। यह सुनिश्चित करने के लिए कि आप जिस वेब पेज का उपयोग नहीं कर रहे हैं, वह पूरी तरह से सुरक्षित है, ब्राउज़र यह कहते हुए चेतावनी प्रदर्शित करते हैं कि पृष्ठ में HTTPS और HTTP सामग्री - मिश्रित सामग्री दोनों हैं।
क्यों यह खतरनाक है
सम्बंधित: एन्क्रिप्शन क्या है, और यह कैसे काम करता है?
यहाँ क्यों यह वास्तव में खतरनाक है। मान लें कि आप भुगतान पृष्ठ पर हैं और आप अपना क्रेडिट कार्ड नंबर दर्ज करने वाले हैं। भुगतान पृष्ठ यह दर्शाता है कि को गोपित HTTPS कनेक्शन, लेकिन आप एक मिश्रित सामग्री चेतावनी देखते हैं। इसके लिए लाल झंडा उठाना चाहिए। यह संभव है कि आपके द्वारा दर्ज किए गए भुगतान विवरण को असुरक्षित सामग्री द्वारा कैप्चर किया जा सके और असुरक्षित कनेक्शन पर भेजा जा सके, जिससे HTTPS सुरक्षा का लाभ दूर हो - कोई व्यक्ति आपके संवेदनशील डेटा को देख सकता है और देख सकता है।
क्योंकि HTTP वेब सर्वर को उसी तरह से प्रमाणित नहीं करता है, जिस तरह से HTTPS करता है, यह भी संभव है कि HTTP साइट से स्क्रिप्ट में खींची जाने वाली सुरक्षित HTTPS साइट को हमलावर की स्क्रिप्ट खींचने और अन्यथा सुरक्षित साइट पर चलाने में धोखा दिया जा सके। जब HTTPS का उपयोग किया जाता है, तो आपके पास अधिक आश्वासन होता है कि सामग्री के साथ छेड़छाड़ नहीं की गई थी और यह वैध है।
दोनों ही मामलों में, यह एक सुरक्षित HTTPS कनेक्शन होने के लाभ को समाप्त करता है। यह संभव है कि एक वेबसाइट असुरक्षित सामग्री चेतावनी दे सकती है और फिर भी आपके व्यक्तिगत डेटा को ठीक से सुरक्षित कर सकती है, लेकिन हम वास्तव में निश्चित रूप से नहीं जानते हैं और जोखिम नहीं उठाना चाहिए - यही कारण है कि जब आप एक वेबसाइट पर नहीं आते हैं तो वेब ब्राउज़र आपको चेतावनी देते हैं। ठीक से कोडित।
मिश्रित सक्रिय सामग्री बनाम मिश्रित निष्क्रिय सामग्री
वास्तव में मिश्रित सामग्री दो प्रकार की होती है। अधिक खतरनाक "मिश्रित सक्रिय सामग्री" या "मिश्रित स्क्रिप्टिंग" है। यह तब होता है जब HTTPS साइट HTTP पर स्क्रिप्ट फ़ाइल लोड करती है। स्क्रिप्ट फ़ाइल उस पेज पर किसी भी कोड को चला सकती है, जिसे वह चाहता है, इसलिए असुरक्षित कनेक्शन पर स्क्रिप्ट लोड करना वर्तमान पृष्ठ की सुरक्षा को पूरी तरह से बर्बाद कर देता है। वेब ब्राउज़र आमतौर पर इस प्रकार की मिश्रित सामग्री को पूरी तरह से ब्लॉक कर देते हैं।
दूसरा प्रकार "मिश्रित निष्क्रिय सामग्री" या "मिश्रित प्रदर्शन सामग्री" है। यह तब होता है जब HTTPS साइट HTTP कनेक्शन पर एक छवि या ऑडियो फ़ाइल की तरह कुछ लोड करती है। इस प्रकार की सामग्री पृष्ठ की सुरक्षा को उसी तरह से बर्बाद नहीं कर सकती है, इसलिए वेब ब्राउज़र कठोर रूप से प्रतिक्रिया नहीं करते हैं। हालाँकि, यह अभी भी एक बुरा सुरक्षा अभ्यास है जो समस्याएं पैदा कर सकता है। उदाहरण के लिए, एक हमलावर छवि को भ्रामक छवि के साथ बदल सकता है, सैद्धांतिक रूप से सुरक्षित पृष्ठ के साथ छेड़छाड़ कर सकता है। एक छवि लोड अनुरोध में हेडर भी होते हैं जिसमें एक वेबसाइट से जुड़ी कुकी जानकारी होती है, इसलिए असुरक्षित कनेक्शन पर छवि लोड करने से भी समस्या हो सकती है। वेब ब्राउज़र अक्सर सामग्री को पूरी तरह से अवरुद्ध करने के बजाय एक चेतावनी चिह्न या संदेश प्रदर्शित करते हैं, क्योंकि इस प्रकार की मिश्रित सामग्री अभी भी वास्तविक वेबसाइटों पर इतनी आम है। Chrome में, आपको पीले त्रिकोण के साथ एक पैडलॉक दिखाई देगा।
जब आप एक मिश्रित सामग्री चेतावनी देखते हैं तो क्या करें
वेब ब्राउज़र आमतौर पर डिफ़ॉल्ट रूप से मिश्रित सामग्री के सबसे खतरनाक प्रकारों को अवरुद्ध करते हैं। इसे अनब्लॉक न करें यदि आप किसी वेबसाइट में लॉग इन नहीं कर सकते हैं या मिश्रित सामग्री को लोड किए बिना ऑनलाइन भुगतान विवरण दर्ज कर सकते हैं, तो आपको बस वेबसाइट छोड़नी चाहिए और अपनी जानकारी को असुरक्षित वेबसाइट में दर्ज नहीं करना चाहिए। बता दें कि वेबसाइट मालिकों को पता है कि उनकी साइट असुरक्षित और टूटी हुई है।
यदि आप एक चेतावनी देखते हैं कि किसी पृष्ठ में अन्य संसाधन हैं जो सुरक्षित नहीं हो सकते हैं, तो वैसे भी लॉग इन करना संभवतः सुरक्षित है। यह एक अच्छा संकेत नहीं है यदि आपके बैंक के रूप में एक वेबसाइट महत्वपूर्ण है, लेकिन इस प्रकार की मिश्रित सामग्री चेतावनी बहुत आम है।
दूसरी ओर, मिश्रित सामग्री चेतावनी वास्तव में एक बड़ी बात नहीं है यदि आप उस वेबसाइट तक नहीं पहुंच रहे हैं, जिसे HTTPS की आवश्यकता नहीं है। सभी मिश्रित सामग्री चेतावनी का अर्थ है कि एक वेब पेज HTTPS सुरक्षा से लाभ की गारंटी देता है - दूसरे शब्दों में, सबसे खराब स्थिति में, जिस वेब पेज पर आप जा रहे हैं वह मानक HTTP साइट के रूप में असुरक्षित है। इसलिए, यदि आप कुछ लेखों को पढ़ने के लिए सिर्फ विकिपीडिया जैसी वेबसाइट का उपयोग कर रहे थे और आपने एक मिश्रित सामग्री चेतावनी देखी, तो आपको इसकी बहुत अधिक परवाह करने की आवश्यकता नहीं है। सबसे खराब स्थिति में, यह उतना ही असुरक्षित है जितना कि आप एक मानक HTTP कनेक्शन पर विकिपीडिया पर लेख पढ़ रहे थे, जो कि आपको वैसे भी करने में कोई समस्या नहीं है।
क्यों कुछ वेब पेजों में यह समस्या है
यदि वेब पेज को कोड करने के तरीके में कोई समस्या है, तो आप केवल इस त्रुटि को देखेंगे। यदि किसी वेब पेज को HTTPS से अधिक परोसा जाता है, तो उसे स्क्रिप्ट फ़ाइलों और अन्य सामग्री को खींचने के लिए HTTPS प्रोटोकॉल का उपयोग करना चाहिए। वेब डेवलपर्स को अपने वेब पृष्ठों का परीक्षण करना चाहिए, यह सुनिश्चित करते हुए कि वे उपयोगकर्ताओं के ब्राउज़रों में डरावने दिखने वाली चेतावनी को ट्रिगर नहीं करते हैं। यदि आप एक उपयोगकर्ता हैं, तो आप वास्तव में इस बारे में कुछ भी नहीं कर सकते - इसे ठीक करने के लिए वेबसाइट के मालिक पर निर्भर है।
यदि आप एक वेब डेवलपर हैं, तो आपको केवल इतना करना है कि अपने HTTPS पृष्ठों को HTTPS URL से लोड करना सुनिश्चित करें, न कि HTTPss। ऐसा करने का एक तरीका यह है कि आपकी पूरी वेबसाइट केवल SSL पर काम करती है, इसलिए सब कुछ HTTPS का उपयोग करता है।
यदि आप एक ऐसा पेज बनाना चाहते हैं, जो HTTP या HTTPS पर परोसा जा सकता है और स्वचालित रूप से सही काम करता है, तो आप उपयोगकर्ता के ब्राउज़र को स्वचालित रूप से उचित रूप से HTTP या HTTPS का चयन करने के लिए "प्रोटोकॉल सापेक्ष URL" का उपयोग कर सकते हैं, जो उपयोगकर्ता के प्रोटोकॉल पर निर्भर करता है साथ जुड़े। उदाहरण के लिए, एक छवि को लोड करने के लिए एक प्रोटोकॉल रिश्तेदार URL जैसा दिखेगा <img src = "// example.com/image.png"> । ब्राउज़र URL की शुरुआत में स्वचालित रूप से http: या https: जोड़ देगा, जो भी उपयुक्त हो। बेशक, आपको उस साइट को सुनिश्चित करने की आवश्यकता होगी जिसे आप HTTP और HTTPS दोनों पर संसाधन प्रदान करने के लिए लिंक कर रहे हैं।
वेब ब्राउज़र मिश्रित सामग्री या आपकी सुरक्षा को स्वचालित रूप से रोक रहे हैं, और यही कारण है। यदि आपको एक सुरक्षित वेबसाइट का उपयोग करने की आवश्यकता है जो मिश्रित सामग्री को सक्षम करने तक ठीक से काम नहीं करती है, तो वेबसाइट के स्वामी को इसे ठीक करना चाहिए।
