“Dette nettstedet har usikkert innhold;” “Bare sikkert innhold vises;” "Firefox har blokkert innhold som ikke er sikkert." Du vil av og til komme over disse advarslene mens du surfer på nettet, men hva betyr de egentlig?
Det er to typer blandet innhold - den ene er verre enn den andre, men ingen av dem er bra. Advarsler om blandet innhold indikerer at noe er galt med en webside du besøker.
Hva er blandet innhold?
I SLEKT: Hva er HTTPS, og hvorfor bør jeg bry meg?
Alt dette kommer ned til forskjellen mellom HTTP og HTTPS . HTTP er den mest brukte typen tilkobling - når du besøker et nettsted ved hjelp av HTTP-protokollen, er ikke tilkoblingen din til nettstedet sikret. Alle som lytter til trafikken, kan se siden du ser på og data du sender frem og tilbake.
Derfor har vi HTTPS, som bokstavelig talt er "HTTP Secure." HTTPS oppretter en sikker forbindelse mellom deg og webserveren. Forbindelsen er kryptert og autentisert, så ingen kan lure på trafikken din, og du er trygg på at du er koblet til riktig nettsted. Dette er ekstremt viktig for å sikre kontopassord og online betalingsdata, slik at ingen kan høre på dem.
Advarsler om blandet innhold indikerer et problem med en webside du åpner via HTTPS. HTTPS-tilkoblingen skal være sikker, men nettsidens kildekode henter inn andre ressurser med den usikre HTTP-protokollen, ikke HTTPS. Nettleserens adressefelt vil si at du er koblet til HTTPS, men siden laster også inn ressurser med den usikre HTTP-protokollen i bakgrunnen. For å sikre at du vet at nettsiden du bruker ikke er helt sikker, viser nettlesere en advarsel som sier at siden har både HTTPS og HTTP-innhold - blandet innhold, med andre ord.
Hvorfor dette er farlig
I SLEKT: Hva er kryptering, og hvordan fungerer det?
Her er hvorfor dette faktisk er farlig. La oss si at du er på en betalingsside og er i ferd med å oppgi kredittkortnummeret ditt. Betalingssiden viser at det er et kryptert HTTPS-tilkobling, men du ser en advarsel om blandet innhold. Dette skal heve et rødt flagg. Det er mulig at betalingsdetaljene du oppgir, kan fanges opp av det usikre innholdet og sendes over en usikker forbindelse, noe som fjerner fordelen med HTTPS-sikkerhet - noen kan avlytte og se dine sensitive data.
Fordi HTTP ikke autentiserer webserveren på samme måte som HTTPS gjør det, er det også mulig at et sikkert HTTPS-nettsted som trekker inn et skript fra et HTTP-nettsted, kan bli lurt til å trekke en angripers skript og kjøre det på det ellers sikre nettstedet. Når HTTPS brukes, har du flere forsikringer om at innholdet ikke ble manipulert og er legitimt.
I begge tilfeller eliminerer dette fordelen med å ha en sikker HTTPS-tilkobling. Det er mulig at et nettsted kan ha en usikker innholdsvarsel og fremdeles sikre dine personlige data riktig, men vi vet ikke helt sikkert og bør ikke ta risikoen - det er derfor nettlesere advarer deg når du kommer over et nettsted som ikke er kodet riktig.
Blandet aktivt innhold kontra blandet passivt innhold
Det er faktisk to typer blandet innhold. Den farligere er "blandet aktivt innhold" eller "blandet skripting." Dette skjer når et HTTPS-nettsted laster en skriptfil over HTTP. Skriptfilen kan kjøre hvilken som helst kode på siden den vil, så å laste et skript over en usikker forbindelse ødelegger sikkerheten til den gjeldende siden fullstendig. Nettlesere blokkerer vanligvis denne typen blandet innhold fullstendig.
Den andre typen er "blandet passivt innhold" eller "blandet visningsinnhold." Dette skjer når et HTTPS-nettsted laster inn noe som et bilde eller en lydfil over en HTTP-forbindelse. Denne typen innhold kan ikke ødelegge sikkerheten til siden på samme måte, slik at nettlesere ikke reagerer like hardt. Imidlertid er det fortsatt en dårlig sikkerhetspraksis som kan forårsake problemer. For eksempel kan en angriper erstatte bildet med et villedende bilde og tukle med en teoretisk sikker side. En forespørsel om innlasting av bilder inneholder også overskrifter som inneholder informasjonskapselinformasjon tilknyttet et nettsted, så selv å laste et bilde over en usikker forbindelse kan forårsake problemer. Nettlesere viser ofte et advarselikon eller en melding i stedet for å blokkere innholdet helt, da denne typen blandet innhold fortsatt er så vanlig på ekte nettsteder. I Chrome ser du en hengelås med en gul trekant.
Hva du skal gjøre når du ser en advarsel om blandet innhold
Nettlesere blokkerer vanligvis de farligste typene av blandet innhold som standard. Ikke opphev blokkeringen. Hvis du ikke kan logge på et nettsted eller angi betalingsdetaljer på nettet uten å laste inn det blandede innholdet, bør du bare forlate nettstedet og ikke legge inn informasjonen din på et usikkert nettsted. La nettstedseierne få vite at nettstedet deres er usikkert og ødelagt.
Hvis du ser en advarsel om at en side inneholder andre ressurser som kanskje ikke er sikre, er det sannsynligvis trygt å logge på uansett. Det er ikke et godt tegn hvis et nettsted som er like viktig som banken din har dette problemet, men denne typen advarsler om blandet innhold er veldig vanlig.
På den annen side er advarsler om blandet innhold ikke veldig viktig hvis du besøker et nettsted som ikke trenger HTTPS. Alt av advarsler om blandet innhold er at en webside garantert vil ha nytte av HTTPS-sikkerhet - med andre ord, i verste fall er nettsiden du besøker like usikker som et standard HTTP-nettsted. Så hvis du besøkte et nettsted som Wikipedia bare for å lese noen artikler og du så en advarsel om blandet innhold, trenger du ikke å bry deg om det for mye. I verste fall er det like usikkert som om du leste artikler på Wikipedia over en standard HTTP-forbindelse, som du uansett ikke ville ha noe problem med.
Hvorfor noen nettsider har dette problemet
Du får bare se denne feilen hvis det er et problem med måten en webside kodes på. Hvis en webside blir servert over HTTPS, bør den også bruke HTTPS-protokollen for å hente inn skriptfiler og annet innhold det krever. Nettutviklere bør teste nettsidene sine, og sørge for at de ikke utløser skremmende advarsler i brukernes nettlesere. Hvis du er bruker, kan du egentlig ikke gjøre noe med dette - det er opp til nettstedseieren å fikse det.
Hvis du er nettutvikler, er alt du trenger å gjøre at HTTPS-sidene dine laster innhold fra HTTPS-nettadresser, ikke HTTP-nettadresser. En måte å gjøre dette på er å gjøre at hele nettstedet ditt bare fungerer over SSL, så alt bruker bare HTTPS.
Hvis du vil lage en side som kan serveres via HTTP eller HTTPS og gjør det rette automatisk, kan du bruke "protokollrelaterte nettadresser" for å få brukerens nettleser til å velge HTTP eller HTTPS automatisk, avhengig av hvilken protokoll brukeren er. tilkoblet til. For eksempel vil en protokollrelatert URL for å laste inn et bilde se ut <img src = ”// example.com/image.png”> . Nettleseren vil automatisk legge til enten http: eller https: i starten av URL-en, avhengig av hva som er passende. Selvfølgelig må du sørge for at nettstedet du lenker til tilbyr ressursen over både HTTP og HTTPS.
Nettlesere blokkerer automatisk blandet innhold eller beskyttelsen din, og det er derfor. Hvis du trenger å bruke et sikkert nettsted som ikke fungerer som den skal, med mindre du aktiverer blandet innhold, bør eieren av nettstedet fikse det.
