"Deze site bevat onveilige inhoud;" "enkel beveiligde inhoud wordt getoond;" "Firefox heeft inhoud geblokkeerd die niet veilig is." U zult deze waarschuwingen af en toe tegenkomen tijdens het surfen op internet, maar wat betekenen ze precies?
Er zijn twee soorten gemengde inhoud: de ene is erger dan de andere, maar geen van beide is goed. Waarschuwingen voor gemengde inhoud geven aan dat er iets mis is met een webpagina die u bezoekt.
Wat is gemengde inhoud?
VERWANT: Wat is HTTPS en waarom zou het mij iets kunnen schelen?
Dit komt allemaal neer op het verschil tussen HTTP en HTTPS . HTTP is het meest gebruikte type verbinding. Wanneer u een website bezoekt met het HTTP-protocol, is uw verbinding met de website niet beveiligd. Iedereen die het verkeer afluistert, kan de pagina zien die u bekijkt en alle gegevens die u heen en weer verzendt.
Daarom hebben we HTTPS, wat letterlijk 'HTTP-beveiligd' is. HTTPS zorgt voor een veilige verbinding tussen jou en de webserver. De verbinding is gecodeerd en geverifieerd, zodat niemand uw verkeer kan afluisteren en u enige zekerheid heeft dat u met de juiste website bent verbonden. Dit is uitermate belangrijk voor het beveiligen van accountwachtwoorden en online betalingsgegevens, zodat niemand ze kan afluisteren.
Waarschuwingen voor gemengde inhoud duiden op een probleem met een webpagina die u via HTTPS opent. De HTTPS-verbinding moet veilig zijn, maar de broncode van de webpagina haalt andere bronnen binnen met het onveilige HTTP-protocol, niet met HTTPS. De adresbalk van je webbrowser geeft aan dat je verbonden bent met HTTPS, maar de pagina laadt ook bronnen met het onveilige HTTP-protocol op de achtergrond. Om ervoor te zorgen dat u weet dat de webpagina die u gebruikt niet volledig veilig is, geven browsers een waarschuwing weer waarin staat dat de pagina zowel HTTPS- als HTTP-inhoud bevat, met andere woorden gemengde inhoud.
Waarom dit gevaarlijk is
VERWANT: Wat is versleuteling en hoe werkt het?
Dit is waarom dit eigenlijk gevaarlijk is. Stel dat u zich op een betalingspagina bevindt en op het punt staat uw creditcardnummer in te voeren. De betalingspagina geeft aan dat het een versleuteld HTTPS-verbinding, maar u ziet een waarschuwing voor gemengde inhoud. Dit zou een rode vlag moeten opwerpen. Het is mogelijk dat de betalingsgegevens die u invoert, worden opgevangen door de onveilige inhoud en worden verzonden via een onveilige verbinding, waardoor het voordeel van HTTPS-beveiliging verdwijnt: iemand kan uw gevoelige gegevens afluisteren en zien.
Omdat HTTP de webserver niet op dezelfde manier verifieert als HTTPS, is het ook mogelijk dat een beveiligde HTTPS-site die een script van een HTTP-site binnenhaalt, misleid kan worden om het script van een aanvaller op te halen en het uit te voeren op de verder beveiligde site. Wanneer HTTPS wordt gebruikt, hebt u meer zekerheid dat er niet met de inhoud is geknoeid en dat deze legitiem is.
In beide gevallen elimineert dit het voordeel van een veilige HTTPS-verbinding. Het is mogelijk dat een website een waarschuwing voor onveilige inhoud heeft en toch uw persoonlijke gegevens goed beveiligt, maar we weten het echt niet zeker en zouden het risico niet moeten nemen - daarom waarschuwen webbrowsers u wanneer u een website tegenkomt die dat niet is correct gecodeerd.
Gemengde actieve inhoud versus gemengde passieve inhoud
Er zijn eigenlijk twee soorten gemengde inhoud. De gevaarlijkere is 'gemengde actieve inhoud' of 'gemengde scripting'. Dit gebeurt wanneer een HTTPS-site een scriptbestand laadt via HTTP. Het scriptbestand kan elke gewenste code op de pagina uitvoeren, dus het laden van een script via een onveilige verbinding verpest de beveiliging van de huidige pagina volledig. Webbrowsers blokkeren dit soort gemengde inhoud over het algemeen volledig.
Het tweede type is 'gemengde passieve inhoud' of 'gemengde display-inhoud'. Dit gebeurt wanneer een HTTPS-site zoiets als een afbeelding of audiobestand laadt via een HTTP-verbinding. Dit type inhoud kan de beveiliging van de pagina niet op dezelfde manier verstoren, dus webbrowsers reageren niet zo hard. Het is echter nog steeds een slechte beveiligingspraktijk die problemen kan veroorzaken. Een aanvaller kan bijvoorbeeld de afbeelding vervangen door een misleidende afbeelding, waarbij hij knoeit met een theoretisch beveiligde pagina. Een verzoek om afbeeldingen te laden bevat ook headers die cookie-informatie bevatten die aan een website is gekoppeld, dus zelfs het laden van een afbeelding via een onveilige verbinding kan problemen veroorzaken. Webbrowsers geven vaak een waarschuwingspictogram of -bericht weer in plaats van de inhoud volledig te blokkeren, aangezien dit soort gemengde inhoud nog steeds zo vaak voorkomt op echte websites. In Chrome zie je een hangslot met een gele driehoek.
Wat u moet doen als u een waarschuwing voor gemengde inhoud ziet
Webbrowsers blokkeren standaard de gevaarlijkste soorten gemengde inhoud. Deblokkeer de blokkering niet. Als u niet kunt inloggen op een website of online betalingsgegevens kunt invoeren zonder de gemengde inhoud te laden, verlaat u de website en voert u uw gegevens niet op een onveilige website in. Laat de website-eigenaren weten dat hun site onveilig en kapot is.
Als je een waarschuwing ziet dat een pagina andere bronnen bevat die mogelijk niet veilig zijn, is het waarschijnlijk toch veilig om in te loggen. Het is geen goed teken als een website die zo belangrijk is als uw bank dit probleem heeft, maar dit soort waarschuwingen voor gemengde inhoud is heel gebruikelijk.
Aan de andere kant zijn waarschuwingen voor gemengde inhoud niet echt een probleem als u een website bezoekt die geen HTTPS nodig heeft. Alle waarschuwingen voor gemengde inhoud zijn dat een webpagina gegarandeerd profiteert van HTTPS-beveiliging - met andere woorden, in het ergste geval is de webpagina die u bezoekt net zo onveilig als een standaard HTTP-site. Dus als u een website als Wikipedia bezoekt om alleen wat artikelen te lezen en u ziet een waarschuwing voor gemengde inhoud, hoeft u zich daar niet al te veel zorgen over te maken. In het ergste geval is het net zo onveilig alsof u artikelen op Wikipedia leest via een standaard HTTP-verbinding, wat u sowieso zonder problemen zou hebben.
Waarom sommige webpagina's dit probleem hebben
Deze foutmelding wordt alleen weergegeven als er een probleem is met de manier waarop een webpagina is gecodeerd. Als een webpagina wordt bediend via HTTPS, moet deze ook het HTTPS-protocol gebruiken om scriptbestanden en andere benodigde inhoud op te halen. Webontwikkelaars moeten hun webpagina's testen en ervoor zorgen dat ze geen angstaanjagende waarschuwingen activeren in de browsers van gebruikers. Als u een gebruiker bent, kunt u hier eigenlijk niets aan doen. Het is aan de website-eigenaar om het probleem op te lossen.
Als u een webontwikkelaar bent, hoeft u er alleen maar voor te zorgen dat uw HTTPS-pagina's inhoud laden van HTTPS-URL's, niet van HTTP-URL's. Een manier om dit te doen is door je hele website alleen via SSL te laten werken, dus alles gebruikt HTTPS.
Als u een pagina wilt maken die via HTTP of HTTPS kan worden bediend en automatisch het juiste doet, kunt u "protocol-relatieve URL's" gebruiken om de browser van de gebruiker automatisch HTTP of HTTPS te laten kiezen, afhankelijk van het protocol dat de gebruiker heeft. verbonden met. Een relatieve URL van een protocol om een afbeelding te laden, ziet er bijvoorbeeld uit <img src = "// example.com/image.png"> . De browser voegt automatisch http: of https: toe aan het begin van de URL, afhankelijk van wat van toepassing is. Natuurlijk moet u ervoor zorgen dat de site waarnaar u linkt de bron biedt via zowel HTTP als HTTPS.
Webbrowsers blokkeren automatisch gemengde inhoud of uw bescherming, en dit is waarom. Als u een beveiligde website nodig heeft die niet goed werkt, tenzij u gemengde inhoud inschakelt, moet de eigenaar van de website dit oplossen.
