“ ไซต์นี้มีเนื้อหาที่ไม่ปลอดภัย” “ แสดงเฉพาะเนื้อหาที่ปลอดภัยเท่านั้น” “ Firefox ได้บล็อกเนื้อหาที่ไม่ปลอดภัย” บางครั้งคุณจะเจอคำเตือนเหล่านี้ขณะท่องเว็บ แต่คำเตือนเหล่านี้หมายความว่าอย่างไร
เนื้อหาผสมมีสองประเภท - ประเภทหนึ่งแย่กว่าอีกประเภทหนึ่ง แต่ก็ไม่ดี คำเตือนเกี่ยวกับเนื้อหาผสมเป็นการบ่งชี้ว่ามีบางอย่างผิดปกติกับหน้าเว็บที่คุณกำลังเข้าชม
เนื้อหาผสมคืออะไร?
ที่เกี่ยวข้อง: HTTPS คืออะไรและเหตุใดฉันจึงควรดูแล
ทั้งหมดนี้มาลงที่ ความแตกต่างระหว่าง HTTP และ HTTPS . HTTP เป็นประเภทการเชื่อมต่อที่ใช้บ่อยที่สุด - เมื่อคุณเยี่ยมชมเว็บไซต์โดยใช้โปรโตคอล HTTP การเชื่อมต่อของคุณกับเว็บไซต์จะไม่ปลอดภัย ใครก็ตามที่แอบดูการเข้าชมสามารถเห็นหน้าที่คุณกำลังดูและข้อมูลใด ๆ ที่คุณส่งไปมา
นั่นคือเหตุผลที่เรามี HTTPS ซึ่งเรียกว่า“ HTTP Secure” อย่างแท้จริง HTTPS สร้างการเชื่อมต่อที่ปลอดภัยระหว่างคุณและเว็บเซิร์ฟเวอร์ การเชื่อมต่อได้รับการเข้ารหัสและรับรองความถูกต้องดังนั้นจึงไม่มีใครสามารถสอดแนมการเข้าชมของคุณได้และคุณมั่นใจได้ว่าคุณเชื่อมต่อกับเว็บไซต์ที่ถูกต้อง นี่เป็นสิ่งสำคัญอย่างยิ่งสำหรับการรักษาความปลอดภัยรหัสผ่านบัญชีและข้อมูลการชำระเงินออนไลน์เพื่อให้แน่ใจว่าไม่มีใครสามารถดักฟัง
คำเตือนเกี่ยวกับเนื้อหาผสมบ่งบอกถึงปัญหาเกี่ยวกับหน้าเว็บที่คุณกำลังเข้าถึงผ่าน HTTPS การเชื่อมต่อ HTTPS ควรปลอดภัย แต่ซอร์สโค้ดของหน้าเว็บดึงทรัพยากรอื่น ๆ ด้วยโปรโตคอล HTTP ที่ไม่ปลอดภัยไม่ใช่ HTTPS แถบที่อยู่เว็บเบราว์เซอร์ของคุณจะบอกว่าคุณเชื่อมต่อกับ HTTPS แต่หน้านี้ยังโหลดทรัพยากรด้วยโปรโตคอล HTTP ที่ไม่ปลอดภัยอยู่เบื้องหลัง เพื่อให้แน่ใจว่าคุณทราบว่าหน้าเว็บที่คุณใช้ไม่ปลอดภัยอย่างสมบูรณ์เบราว์เซอร์จะแสดงคำเตือนว่าหน้านั้นมีทั้งเนื้อหา HTTPS และ HTTP ซึ่งก็คือเนื้อหาผสมกัน
ทำไมถึงเป็นอันตราย
ที่เกี่ยวข้อง: การเข้ารหัสคืออะไรและทำงานอย่างไร
นี่คือสาเหตุที่อันตรายจริงๆ สมมติว่าคุณอยู่ในหน้าชำระเงินและกำลังจะป้อนหมายเลขบัตรเครดิต หน้าการชำระเงินระบุว่าเป็นไฟล์ เข้ารหัส การเชื่อมต่อ HTTPS แต่คุณเห็นคำเตือนเนื้อหาผสม สิ่งนี้ควรชูธงสีแดง เป็นไปได้ว่ารายละเอียดการชำระเงินที่คุณป้อนอาจถูกบันทึกโดยเนื้อหาที่ไม่ปลอดภัยและส่งผ่านการเชื่อมต่อที่ไม่ปลอดภัยซึ่งจะนำประโยชน์ของการรักษาความปลอดภัย HTTPS ออกไปโดยอาจมีคนแอบดักฟังและดูข้อมูลที่ละเอียดอ่อนของคุณ
เนื่องจาก HTTP ไม่ได้ตรวจสอบสิทธิ์เว็บเซิร์ฟเวอร์ในลักษณะเดียวกับที่ HTTPS ทำจึงเป็นไปได้ว่าไซต์ HTTPS ที่ปลอดภัยที่ดึงสคริปต์จากไซต์ HTTP อาจถูกหลอกให้ดึงสคริปต์ของผู้โจมตีและเรียกใช้บนไซต์ที่ปลอดภัย เมื่อใช้ HTTPS คุณจะมั่นใจได้มากขึ้นว่าเนื้อหาไม่ได้ถูกดัดแปลงและถูกต้องตามกฎหมาย
ในทั้งสองกรณีนี้จะช่วยลดประโยชน์ของการเชื่อมต่อ HTTPS ที่ปลอดภัย เป็นไปได้ว่าเว็บไซต์อาจมีคำเตือนเกี่ยวกับเนื้อหาที่ไม่ปลอดภัยและยังคงรักษาความปลอดภัยข้อมูลส่วนบุคคลของคุณอย่างเหมาะสม แต่เราไม่ทราบแน่ชัดและไม่ควรเสี่ยงนั่นคือสาเหตุที่เว็บเบราว์เซอร์เตือนคุณเมื่อคุณพบเว็บไซต์ที่ไม่ เข้ารหัสอย่างถูกต้อง
Mixed Active Content กับ Mixed Passive Content
มีเนื้อหาผสมอยู่สองประเภท สิ่งที่อันตรายกว่าคือ“ เนื้อหาแอคทีฟผสม” หรือ“ การเขียนสคริปต์แบบผสม” กรณีนี้เกิดขึ้นเมื่อไซต์ HTTPS โหลดไฟล์สคริปต์ผ่าน HTTP ไฟล์สคริปต์สามารถเรียกใช้โค้ดใดก็ได้ในหน้าที่ต้องการดังนั้นการโหลดสคริปต์ผ่านการเชื่อมต่อที่ไม่ปลอดภัยจะทำลายความปลอดภัยของเพจปัจจุบันโดยสิ้นเชิง โดยทั่วไปเว็บเบราว์เซอร์จะปิดกั้นเนื้อหาผสมประเภทนี้อย่างสมบูรณ์
ประเภทที่สองคือ“ เนื้อหาแฝงแบบผสม” หรือ“ เนื้อหาดิสเพลย์แบบผสม” กรณีนี้เกิดขึ้นเมื่อไซต์ HTTPS โหลดบางอย่างเช่นไฟล์รูปภาพหรือไฟล์เสียงผ่านการเชื่อมต่อ HTTP เนื้อหาประเภทนี้ไม่สามารถทำลายความปลอดภัยของหน้าได้ในลักษณะเดียวกันเว็บเบราว์เซอร์จึงไม่ตอบสนองอย่างรุนแรง อย่างไรก็ตามยังคงเป็นแนวทางปฏิบัติด้านความปลอดภัยที่ไม่ดีซึ่งอาจทำให้เกิดปัญหาได้ ตัวอย่างเช่นผู้โจมตีสามารถแทนที่รูปภาพด้วยรูปภาพที่ทำให้เข้าใจผิดโดยเข้าไปยุ่งเกี่ยวกับหน้าที่มีความปลอดภัยตามหลักวิชา คำขอโหลดรูปภาพยังมีส่วนหัวที่มีข้อมูลคุกกี้ที่เชื่อมโยงกับเว็บไซต์ดังนั้นแม้แต่การโหลดรูปภาพผ่านการเชื่อมต่อที่ไม่ปลอดภัยก็อาจทำให้เกิดปัญหาได้ เว็บเบราว์เซอร์มักจะแสดงไอคอนคำเตือนหรือข้อความแทนที่จะปิดกั้นเนื้อหาทั้งหมดเนื่องจากเนื้อหาผสมประเภทนี้ยังคงพบเห็นได้ทั่วไปในเว็บไซต์จริง ใน Chrome คุณจะเห็นแม่กุญแจที่มีสามเหลี่ยมสีเหลือง
สิ่งที่ต้องทำเมื่อคุณเห็นคำเตือนเนื้อหาผสม
โดยทั่วไปเว็บเบราว์เซอร์จะบล็อกเนื้อหาผสมประเภทที่อันตรายที่สุดตามค่าเริ่มต้น อย่าปลดบล็อก หากคุณไม่สามารถเข้าสู่เว็บไซต์หรือป้อนรายละเอียดการชำระเงินออนไลน์โดยไม่ต้องโหลดเนื้อหาผสมคุณควรออกจากเว็บไซต์และอย่าป้อนข้อมูลของคุณลงในเว็บไซต์ที่ไม่ปลอดภัย แจ้งให้เจ้าของเว็บไซต์ทราบว่าไซต์ของตนไม่ปลอดภัยและเสีย
หากคุณเห็นคำเตือนว่าหน้าเว็บมีทรัพยากรอื่น ๆ ที่อาจไม่ปลอดภัยคุณควรเข้าสู่ระบบอย่างปลอดภัย ไม่ใช่สัญญาณที่ดีหากเว็บไซต์ที่มีความสำคัญเท่ากับธนาคารของคุณมีปัญหานี้ แต่คำเตือนเกี่ยวกับเนื้อหาผสมประเภทนี้เป็นเรื่องปกติมาก
ในทางกลับกันคำเตือนเกี่ยวกับเนื้อหาแบบผสมไม่ใช่เรื่องใหญ่หากคุณกำลังเข้าถึงเว็บไซต์ที่ไม่จำเป็นต้องใช้ HTTPS คำเตือนเกี่ยวกับเนื้อหาแบบผสมทั้งหมดหมายความว่าหน้าเว็บที่รับประกันว่าจะได้รับประโยชน์จากความปลอดภัยของ HTTPS กล่าวอีกนัยหนึ่งคือในกรณีที่เลวร้ายที่สุดหน้าเว็บที่คุณกำลังเข้าชมนั้นไม่ปลอดภัยเท่ากับเว็บไซต์ HTTP มาตรฐาน ดังนั้นหากคุณกำลังเข้าถึงเว็บไซต์เช่น Wikipedia เพื่ออ่านบทความบางบทความและคุณเห็นคำเตือนเกี่ยวกับเนื้อหาที่หลากหลายคุณก็ไม่จำเป็นต้องสนใจมันมากเกินไป ในกรณีที่เลวร้ายที่สุดมันก็ไม่ปลอดภัยราวกับว่าคุณกำลังอ่านบทความใน Wikipedia ผ่านการเชื่อมต่อ HTTP มาตรฐานซึ่งคุณไม่มีปัญหาในการดำเนินการใด ๆ
เหตุใดหน้าเว็บบางหน้าจึงมีปัญหานี้
คุณจะเห็นข้อผิดพลาดนี้ก็ต่อเมื่อมีปัญหากับวิธีเขียนโค้ดหน้าเว็บ หากหน้าเว็บให้บริการผ่าน HTTPS ควรใช้โปรโตคอล HTTPS เพื่อดึงไฟล์สคริปต์และเนื้อหาอื่น ๆ ที่ต้องการ นักพัฒนาเว็บควรทดสอบหน้าเว็บของตนเพื่อให้แน่ใจว่าพวกเขาจะไม่เรียกคำเตือนที่ดูน่ากลัวในเบราว์เซอร์ของผู้ใช้ หากคุณเป็นผู้ใช้คุณจะไม่สามารถดำเนินการใด ๆ เกี่ยวกับเรื่องนี้ได้ แต่ขึ้นอยู่กับเจ้าของเว็บไซต์ที่จะแก้ไข
หากคุณเป็นนักพัฒนาเว็บสิ่งที่คุณต้องทำคือตรวจสอบให้แน่ใจว่าหน้า HTTPS ของคุณโหลดเนื้อหาจาก URL HTTPS ไม่ใช่ URL ของ HTTP วิธีหนึ่งในการทำเช่นนี้คือการทำให้ทั้งเว็บไซต์ของคุณทำงานผ่าน SSL เท่านั้นดังนั้นทุกอย่างจึงใช้ HTTPS
หากคุณต้องการสร้างเพจที่สามารถให้บริการผ่าน HTTP หรือ HTTPS และทำสิ่งที่ถูกต้องโดยอัตโนมัติคุณสามารถใช้“ URL ที่สัมพันธ์กับโปรโตคอล” เพื่อให้เบราว์เซอร์ของผู้ใช้เลือก HTTP หรือ HTTPS โดยอัตโนมัติตามความเหมาะสมทั้งนี้ขึ้นอยู่กับโปรโตคอลที่ผู้ใช้เป็น เชื่อมต่อกับ. ตัวอย่างเช่น URL สัมพัทธ์ของโปรโตคอลในการโหลดรูปภาพจะมีลักษณะดังนี้ <img src =” // example.com/image.png”> . เบราว์เซอร์จะเพิ่ม http: หรือ https: โดยอัตโนมัติในจุดเริ่มต้นของ URL แล้วแต่ว่าจะเหมาะสม แน่นอนคุณจะต้องตรวจสอบให้แน่ใจว่าไซต์ที่คุณกำลังเชื่อมโยงนั้นมีทรัพยากรผ่านทั้ง HTTP และ HTTPS
เว็บเบราว์เซอร์กำลังบล็อกเนื้อหาผสมหรือการป้องกันของคุณโดยอัตโนมัติและนี่คือเหตุผลว่าทำไม หากคุณจำเป็นต้องใช้เว็บไซต์ที่ปลอดภัยซึ่งทำงานไม่ถูกต้องเว้นแต่คุณจะเปิดใช้งานเนื้อหาผสมเจ้าของเว็บไซต์ควรแก้ไข
