„Acest site are conținut nesigur;” "Se afișează numai conținutul securizat;" „Firefox a blocat conținut care nu este sigur”. Ocazional veți întâlni aceste avertismente în timp ce navigați pe web, dar ce înseamnă exact acestea?
Există două tipuri de conținut mixt - unul este mai rău decât celălalt, dar nici unul nu este bun. Avertismentele privind conținutul mixt indică faptul că ceva nu este în regulă cu o pagină web pe care o vizitați.
Ce este conținutul mixt?
LEGATE DE: Ce este HTTPS și de ce ar trebui să-mi pese?
Totul se rezumă la diferența dintre HTTP și HTTPS . HTTP este cel mai frecvent utilizat tip de conexiune - atunci când vizitați un site web utilizând protocolul HTTP, conexiunea dvs. la site nu este securizată. Oricine ascultă traficul poate vedea pagina pe care o vizualizați și orice date pe care le trimiteți înainte și înapoi.
De aceea avem HTTPS, care este literalmente „HTTP Secure”. HTTPS creează o conexiune sigură între dvs. și serverul web. Conexiunea este criptată și autentificată, astfel încât nimeni nu vă poate asculta traficul și aveți o siguranță că sunteți conectat la site-ul web corect. Acest lucru este extrem de important pentru securizarea parolelor contului și a datelor de plată online, asigurându-vă că nimeni nu le poate asculta.
Avertismentele privind conținutul mixt indică o problemă cu o pagină web pe care o accesați prin HTTPS. Conexiunea HTTPS ar trebui să fie sigură, dar codul sursă al paginii web atrage alte resurse cu protocolul HTTP nesigur, nu HTTPS. Bara de adrese a browserului dvs. web va spune că sunteți conectat la HTTPS, dar pagina încarcă și resurse cu protocolul HTTP nesigur în fundal. Pentru a vă asigura că pagina web pe care o utilizați nu este complet sigură, browserele afișează un avertisment care spune că pagina are atât conținut HTTPS, cât și conținut HTTP - conținut mixt, cu alte cuvinte.
De ce este periculos
LEGATE DE: Ce este criptarea și cum funcționează?
Iată de ce acest lucru este de fapt periculos. Să presupunem că sunteți pe o pagină de plată și că sunteți pe punctul de a introduce numărul cardului de credit. Pagina de plată indică faptul că este criptat Conexiune HTTPS, dar vedeți un avertisment privind conținutul mixt. Aceasta ar trebui să ridice un steag roșu. Este posibil ca detaliile de plată pe care le introduceți să poată fi capturate de conținutul nesigur și trimise printr-o conexiune nesigură, eliminând avantajul securității HTTPS - cineva ar putea asculta și vedea datele dvs. sensibile.
Deoarece HTTP nu autentifică serverul web în același mod în care HTTPS o face, este de asemenea posibil ca un site HTTPS sigur care extrage un script de pe un site HTTP să poată fi păcălit să extragă scriptul unui atacator și să îl ruleze pe site-ul altfel sigur. Când se utilizează HTTPS, aveți mai multe asigurări că conținutul nu a fost modificat și este legitim.
În ambele cazuri, acest lucru elimină avantajul de a avea o conexiune HTTPS sigură. Este posibil ca un site web să aibă un avertisment privind conținutul nesigur și să vă securizeze în mod corespunzător datele personale, dar chiar nu știm sigur și nu ar trebui să ne asumăm riscul - de aceea browserele web vă avertizează atunci când întâlniți un site care nu codificate corect.
Conținut mixt activ vs. conținut pasiv mixt
De fapt, există două tipuri de conținut mixt. Cea mai periculoasă este „conținut mixt activ” sau „scripturi mixte”. Acest lucru se întâmplă atunci când un site HTTPS încarcă un fișier script peste HTTP. Fișierul script poate rula orice cod pe pagina pe care o dorește, astfel încât încărcarea unui script printr-o conexiune nesigură distruge complet securitatea paginii curente. Browserele web blochează în general acest tip de conținut mixt.
Al doilea tip este „conținut mixt pasiv” sau „conținut mixt de afișare”. Acest lucru se întâmplă atunci când un site HTTPS încarcă ceva de genul o imagine sau un fișier audio printr-o conexiune HTTP. Acest tip de conținut nu poate distruge securitatea paginii în același mod, astfel încât browserele web nu reacționează la fel de dur. Cu toate acestea, este încă o practică de securitate proastă care ar putea cauza probleme. De exemplu, un atacator ar putea înlocui imaginea cu o imagine înșelătoare, modificând o pagină teoretic sigură. O cerere de încărcare a imaginii conține, de asemenea, anteturi care conțin informații despre cookie asociate unui site web, astfel încât chiar și încărcarea unei imagini printr-o conexiune nesigură poate cauza probleme. Browserele web afișează adesea o pictogramă sau un mesaj de avertizare, mai degrabă decât să blocheze complet conținutul, deoarece acest tip de conținut mixt este încă atât de comun pe site-urile web reale. În Chrome, veți vedea un lacăt cu un triunghi galben.
Ce trebuie să faceți când vedeți un avertisment privind conținutul mixt
Browserele web blochează în mod implicit cele mai periculoase tipuri de conținut mixt. Nu îl deblocați. Dacă nu vă puteți conecta la un site web sau introduceți detalii de plată online fără a încărca conținutul mixt, ar trebui să părăsiți site-ul și să nu introduceți informațiile dvs. pe un site nesigur. Anunțați proprietarii de site-uri web că site-ul lor este nesigur și defect.
Dacă vedeți un avertisment că o pagină conține alte resurse care ar putea să nu fie sigure, este probabil să vă conectați oricum în siguranță. Nu este un semn bun dacă un site web la fel de important ca banca dvs. are această problemă, dar acest tip de avertisment privind conținutul mixt este foarte frecvent.
Pe de altă parte, avertismentele privind conținutul mixt nu sunt prea mari dacă accesați un site web care nu are nevoie de HTTPS. Tot ce înseamnă o avertizare de conținut mixt este că o pagină web garantată beneficiază de securitate HTTPS - cu alte cuvinte, în cel mai rău caz, pagina web pe care o vizitați este la fel de nesigură ca un site HTTP standard. Așadar, dacă accesați un site web precum Wikipedia doar pentru a citi câteva articole și ați văzut un avertisment privind conținutul mixt, nu ar trebui să vă preocupați prea mult. În cel mai rău caz, este la fel de nesigur ca și cum ați citi articole pe Wikipedia printr-o conexiune HTTP standard, lucru pe care oricum nu l-ați avea nicio problemă.
De ce unele pagini web au această problemă
Veți vedea această eroare numai dacă există o problemă cu modul de codare a unei pagini web. Dacă o pagină web este difuzată prin HTTPS, ar trebui să folosească și protocolul HTTPS pentru a extrage fișiere script și alt conținut de care are nevoie. Dezvoltatorii web ar trebui să-și testeze paginile web, asigurându-se că nu declanșează avertismente înfricoșătoare în browserele utilizatorilor. Dacă sunteți utilizator, nu puteți face cu adevărat nimic în acest sens - depinde de proprietarul site-ului să o remedieze.
Dacă sunteți dezvoltator web, tot ce trebuie să faceți este să vă asigurați că paginile dvs. HTTPS încarcă conținut de pe adresele URL HTTPS, nu din adresele URL HTTP. O modalitate de a face acest lucru este făcând ca întregul site să funcționeze numai pe SSL, astfel încât totul folosește HTTPS.
Dacă doriți să creați o pagină care poate fi difuzată prin HTTP sau HTTPS și face automat ceea ce trebuie, puteți utiliza „adresele URL relative la protocol” pentru ca browserul utilizatorului să aleagă automat HTTP sau HTTPS după caz, în funcție de protocolul în care este utilizatorul conectat cu. De exemplu, ar fi o adresă URL relativă a protocolului pentru a încărca o imagine <img src = ”// example.com/image.png”> . Browserul va adăuga automat fie http: fie https: la începutul adresei URL, oricare este cazul. Desigur, va trebui să vă asigurați că site-ul la care faceți legătura oferă resursa atât prin HTTP, cât și prin HTTPS.
Browserele web blochează automat conținutul mixt sau protecția dvs. și de aceea. Dacă trebuie să utilizați un site web sigur care nu funcționează corect decât dacă activați conținut mixt, proprietarul site-ului web ar trebui să îl remedieze.
