「このサイトには安全でないコンテンツがあります。」 「安全なコンテンツのみが表示されます。」 「Firefoxは安全でないコンテンツをブロックしました。」ウェブを閲覧しているときにこれらの警告に遭遇することがありますが、正確にはどういう意味ですか?
混合コンテンツには2つのタイプがあります。1つはもう1つより悪いですが、どちらも良くありません。混合コンテンツの警告は、アクセスしているWebページに問題があることを示しています。
混合コンテンツとは何ですか?
関連: HTTPSとは何ですか、なぜ気にする必要がありますか?
これはすべてに帰着します HTTPとHTTPSの違い 。 HTTPは、最も一般的に使用されるタイプの接続です。HTTPプロトコルを使用してWebサイトにアクセスすると、Webサイトへの接続は保護されません。トラフィックを盗聴する人は誰でも、表示しているページと送受信しているデータを見ることができます。
そのため、文字通り「HTTPセキュア」であるHTTPSを使用しています。 HTTPSは、ユーザーとWebサーバーの間に安全な接続を作成します。接続は暗号化および認証されているため、誰もトラフィックを盗聴することはできず、正しいWebサイトに接続していることがある程度保証されます。これは、アカウントのパスワードとオンライン支払いデータを保護し、誰もそれらを盗聴できないようにするために非常に重要です。
混合コンテンツの警告は、HTTPS経由でアクセスしているWebページに問題があることを示しています。 HTTPS接続は安全である必要がありますが、Webページのソースコードは、HTTPSではなく安全でないHTTPプロトコルを使用して他のリソースを取得しています。 WebブラウザのアドレスバーにHTTPSに接続していると表示されますが、ページには安全でないHTTPプロトコルをバックグラウンドで使用してリソースが読み込まれています。使用しているウェブページが完全に安全ではないことを確認するために、ブラウザには、ページにHTTPSコンテンツとHTTPコンテンツの両方、つまり混合コンテンツがあることを示す警告が表示されます。
なぜこれが危険なのか
関連: 暗号化とは何ですか、そしてそれはどのように機能しますか?
これが実際に危険な理由です。支払いページを表示していて、クレジットカード番号を入力しようとしているとします。支払いページはそれが 暗号化 HTTPS接続ですが、コンテンツが混在するという警告が表示されます。これにより、危険信号が発生するはずです。入力した支払いの詳細が安全でないコンテンツによってキャプチャされ、安全でない接続を介して送信され、HTTPSセキュリティの利点が失われる可能性があります。誰かがあなたの機密データを盗聴して見る可能性があります。
HTTPはHTTPSと同じようにWebサーバーを認証しないため、HTTPサイトからスクリプトをプルする安全なHTTPSサイトがだまされて、攻撃者のスクリプトをプルし、それ以外の場合は安全なサイトで実行する可能性もあります。 HTTPSを使用すると、コンテンツが改ざんされておらず、正当であることがより確実になります。
どちらの場合も、これにより、安全なHTTPS接続を使用するメリットがなくなります。ウェブサイトに安全でないコンテンツの警告が表示され、それでも個人データが適切に保護される可能性がありますが、私たちは本当に確信が持てず、リスクを冒すべきではありません。そのため、そうでないウェブサイトに出くわしたときにウェブブラウザが警告を発します。適切にコーディングされています。
混合アクティブコンテンツと混合パッシブコンテンツ
混合コンテンツには実際には2つのタイプがあります。より危険なのは、「混合アクティブコンテンツ」または「混合スクリプト」です。これは、HTTPSサイトがHTTP経由でスクリプトファイルをロードするときに発生します。スクリプトファイルは、必要なページで任意のコードを実行できるため、安全でない接続を介してスクリプトをロードすると、現在のページのセキュリティが完全に損なわれます。 Webブラウザーは通常、このタイプの混合コンテンツを完全にブロックします。
2番目のタイプは、「混合パッシブコンテンツ」または「混合ディスプレイコンテンツ」です。これは、HTTPSサイトがHTTP接続を介して画像や音声ファイルなどをロードするときに発生します。このタイプのコンテンツは、同じようにページのセキュリティを損なうことはできないため、Webブラウザはそれほど厳しく反応しません。ただし、それでも問題を引き起こす可能性のある悪いセキュリティ慣行です。たとえば、攻撃者は画像を誤解を招く画像に置き換え、理論的に安全なページを改ざんする可能性があります。画像の読み込みリクエストには、ウェブサイトに関連付けられたCookie情報を含むヘッダーも含まれているため、安全でない接続を介して画像を読み込む場合でも問題が発生する可能性があります。このタイプの混合コンテンツは実際のWebサイトではまだ一般的であるため、Webブラウザーは、コンテンツを完全にブロックするのではなく、警告アイコンまたはメッセージを表示することがよくあります。 Chromeでは、黄色の三角形の付いた南京錠が表示されます。
混合コンテンツの警告が表示された場合の対処方法
Webブラウザーは通常、最も危険なタイプの混合コンテンツをデフォルトでブロックします。ブロックを解除しないでください。混合コンテンツを読み込まずにウェブサイトにログインしたり、オンライン支払いの詳細を入力したりできない場合は、ウェブサイトを離れて、安全でないウェブサイトに情報を入力しないでください。ウェブサイトの所有者に、自分のサイトが安全でなく壊れていることを知らせます。
ページに安全でない可能性のある他のリソースが含まれているという警告が表示された場合は、とにかくログインしても安全です。銀行と同じくらい重要なウェブサイトにこの問題がある場合、それは良い兆候ではありませんが、このタイプの混合コンテンツ警告は非常に一般的です。
一方、HTTPSを必要としないウェブサイトにアクセスしている場合、混合コンテンツの警告はそれほど大きな問題にはなりません。混合コンテンツの警告はすべて、HTTPSセキュリティの恩恵を受けることが保証されているWebページを意味します。つまり、最悪のシナリオでは、アクセスしているWebページは標準のHTTPサイトと同じくらい安全ではありません。したがって、ウィキペディアのようなWebサイトにアクセスして記事を読むだけで、コンテンツが混在する警告が表示された場合は、あまり気にする必要はありません。最悪のシナリオでは、標準のHTTP接続を介してウィキペディアの記事を読んでいるかのように安全ではありません。とにかく問題はありません。
一部のWebページにこの問題がある理由
このエラーは、ウェブページのコーディング方法に問題がある場合にのみ表示されます。 WebページがHTTPS経由で提供される場合は、HTTPSプロトコルを使用して、スクリプトファイルやその他の必要なコンテンツを取り込む必要があります。 Web開発者は、Webページをテストして、ユーザーのブラウザで恐ろしい警告が表示されないことを確認する必要があります。あなたがユーザーの場合、これについて実際に何もすることはできません。修正するのはWebサイトの所有者次第です。
Web開発者の場合は、HTTPSページがHTTPURLではなくHTTPSURLからコンテンツをロードするようにするだけです。これを行う1つの方法は、Webサイト全体をSSL経由でのみ機能させることです。これにより、すべてがHTTPSのみを使用します。
HTTPまたはHTTPSを介して提供でき、適切な処理を自動的に実行するページを作成する場合は、「プロトコル相対URL」を使用して、ユーザーのプロトコルに応じて、ユーザーのブラウザにHTTPまたはHTTPSを自動的に選択させることができます。つながっている。たとえば、画像を読み込むためのプロトコル相対URLは次のようになります。 <img src =” // example.com/image.png”> 。ブラウザは、http:またはhttps:のいずれか適切な方をURLの先頭に自動的に追加します。もちろん、リンク先のサイトがHTTPとHTTPSの両方でリソースを提供していることを確認する必要があります。
Webブラウザーは、混合コンテンツまたは保護を自動的にブロックします。これが理由です。混合コンテンツを有効にしないと正しく機能しない安全なWebサイトを使用する必要がある場合は、Webサイトの所有者が修正する必要があります。
