"Цей сайт має незахищений вміст;" "Відображається лише захищений вміст;" "Firefox заблокував небезпечний вміст." Ви періодично зустрічаєте ці попередження під час перегляду веб-сторінок, але що саме вони означають?
Існує два типи змішаного вмісту - один гірший за інший, але жоден не є хорошим. Попередження змішаного вмісту свідчать про те, що з веб-сторінкою, яку ви відвідуєте, щось не так.
Що таке змішаний вміст?
ПОВ'ЯЗАНІ: Що таке HTTPS і чому мені це потрібно?
Все це зводиться до різниця між HTTP та HTTPS . HTTP - це найбільш часто використовуваний тип підключення - коли ви відвідуєте веб-сайт за протоколом HTTP, ваше з’єднання з веб-сайтом не захищено. Кожен, хто підслуховує трафік, може бачити сторінку, яку ви переглядаєте, і будь-які дані, які ви надсилаєте туди-сюди.
Ось чому у нас є HTTPS, що буквально є "HTTP Secure". HTTPS створює безпечне з'єднання між вами та веб-сервером. З’єднання зашифровано та автентифіковано, тому ніхто не може переглядати ваш трафік, і ви певно впевнені, що під’єднані до правильного веб-сайту. Це надзвичайно важливо для захисту паролів облікових записів та даних онлайн-платежів, гарантуючи, що ніхто не може їх підслуховувати.
Попередження змішаного вмісту вказують на проблему з веб-сторінкою, до якої ви переходите через HTTPS. З’єднання HTTPS має бути надійним, але вихідний код веб-сторінки залучає інші ресурси за допомогою незахищеного протоколу HTTP, а не HTTPS. У адресному рядку веб-браузера буде вказано, що ви підключені до протоколу HTTPS, але сторінка також завантажує ресурси із незахищеним протоколом HTTP у фоновому режимі. Щоб переконатись, що ви знаєте, що веб-сторінка, яку ви використовуєте, не є повністю захищеною, браузери виводять попередження про те, що ця сторінка має як HTTPS, так і HTTP змішаний вміст, іншими словами.
Чому це небезпечно
ПОВ'ЯЗАНІ: Що таке шифрування та як воно працює?
Ось чому це насправді небезпечно. Скажімо, ви знаходитесь на платіжній сторінці і збираєтеся ввести номер своєї кредитної картки. Сторінка платежу вказує, що це a зашифровано HTTPS-з'єднання, але ви бачите попередження змішаного вмісту. Це повинно підняти червоний прапор. Можливо, введені вами платіжні реквізити можуть бути захоплені незахищеним вмістом і надіслані через незахищений зв’язок, усуваючи переваги безпеки HTTPS - хтось може прослуховувати та бачити ваші конфіденційні дані.
Оскільки HTTP не автентифікує веб-сервер так само, як це робить HTTPS, можливо, також безпечний сайт HTTPS, який втягує сценарій із сайту HTTP, може бути обманутий, щоб витягнути сценарій зловмисника та запустити його на іншому захищеному сайті. Коли використовується HTTPS, ви отримуєте більше гарантій, що вміст не підробляється та є законним.
В обох випадках це виключає перевагу безпечного з'єднання HTTPS. Можливо, веб-сайт може мати попередження про небезпечний вміст і при цьому захищати ваші особисті дані належним чином, але ми дійсно не знаємо напевно і не повинні ризикувати - саме тому веб-браузери попереджають вас, коли ви зустрічаєте веб-сайт, який закодовано належним чином.
Змішаний активний вміст проти змішаного пасивного вмісту
Насправді є два типи змішаного вмісту. Більш небезпечним є "змішаний активний вміст" або "змішаний сценарій". Це відбувається, коли сайт HTTPS завантажує файл сценарію через HTTP. Файл сценарію може запускати будь-який код на сторінці, яку він хоче, тому завантаження сценарію через незахищене з'єднання повністю руйнує безпеку поточної сторінки. Веб-браузери, як правило, повністю блокують цей тип змішаного вмісту.
Другий тип - «змішаний пасивний вміст» або «змішаний вміст дисплея». Це відбувається, коли сайт HTTPS завантажує щось подібне до зображення чи аудіофайлу через з'єднання HTTP. Цей тип вмісту не може погіршити безпеку сторінки однаково, тому веб-браузери не реагують настільки жорстко. Однак це все ще погана практика безпеки, яка може спричинити проблеми. Наприклад, зловмисник міг замінити зображення на оманливе зображення, підробляючи теоретично безпечну сторінку. Запит на завантаження зображення також містить заголовки, що містять інформацію про файли cookie, пов’язану з веб-сайтом, тому навіть завантаження зображення через незахищений зв’язок може спричинити проблеми. Веб-браузери часто відображають піктограму попередження або повідомлення, а не повністю блокують вміст, оскільки цей тип змішаного вмісту все ще настільки поширений на реальних веб-сайтах. У Chrome ви побачите замок із жовтим трикутником.
Що робити, коли з’являється попередження про змішаний вміст
Веб-браузери зазвичай за замовчуванням блокують найнебезпечніші типи змішаного вмісту. Не розблоковуйте. Якщо ви не можете увійти на веб-сайт або ввести дані оплати через Інтернет, не завантажуючи змішаний вміст, вам слід просто залишити веб-сайт, а не вводити свою інформацію на незахищений веб-сайт. Повідомте власників веб-сайтів, що їх сайт небезпечний та пошкоджений.
Якщо ви бачите попередження про те, що сторінка містить інші ресурси, які можуть бути ненадійними, можливо, все одно безпечно ввійти в систему. Це не є хорошим знаком, якщо така проблема має такий важливий веб-сайт, як ваш банк, але такий тип попередження змішаного вмісту дуже поширений.
З іншого боку, попередження змішаного вмісту насправді не є великою проблемою, якщо ви переходите на веб-сайт, який не потребує HTTPS. Все попередження змішаного вмісту означає, що веб-сторінка гарантовано отримує вигоду від безпеки HTTPS - іншими словами, в гіршому випадку веб-сторінка, яку ви відвідуєте, така ж небезпечна, як і звичайний сайт HTTP. Отже, якщо ви заходили на такий веб-сайт, як Вікіпедія, лише для того, щоб прочитати деякі статті, і ви побачили змішане попередження про вміст, вам не потрібно надто дбати про це. У гіршому випадку це так само невпевнено, як якщо б ви читали статті у Вікіпедії через стандартне з'єднання HTTP, що в будь-якому випадку у вас не виникне проблем.
Чому деякі веб-сторінки мають цю проблему?
Цю помилку ви побачите лише в тому випадку, якщо виникає проблема із способом кодування веб-сторінки. Якщо веб-сторінка подається через HTTPS, вона також повинна використовувати протокол HTTPS для введення файлів скриптів та іншого необхідного вмісту. Веб-розробники повинні протестувати свої веб-сторінки, переконавшись, що вони не викликають страшних попереджень у браузерах користувачів. Якщо ви користувач, ви нічого не можете з цим зробити - власник веб-сайту вирішує це.
Якщо ви веб-розробник, все, що вам потрібно зробити, це забезпечити завантаження ваших сторінок HTTPS вмістом із URL-адрес HTTPS, а не з URL-адрес HTTP. Один із способів зробити це - зробити так, щоб весь ваш веб-сайт працював лише через SSL, тому все використовує лише HTTPS.
Якщо ви хочете зробити сторінку, яка може обслуговуватися через HTTP або HTTPS, і робить все правильно автоматично, ви можете використовувати “відносні URL-адреси протоколів”, щоб браузер користувача автоматично вибирав HTTP або HTTPS відповідно, залежно від того, який протокол є користувачем. пов'язані з. Наприклад, виглядатиме відносна URL-адреса протоколу для завантаження зображення <img src = ”// example.com/image.png”> . Браузер автоматично додає http: або https: до початку URL-адреси, залежно від того, що це доречно. Звичайно, вам потрібно буде переконатися, що веб-сайт, на який ви посилаєтесь, пропонує ресурс як по HTTP, так і по HTTPS.
Веб-браузери автоматично блокують змішаний вміст або ваш захист, і саме тому. Якщо вам потрібно використовувати захищений веб-сайт, який не працює належним чином, якщо ви не ввімкнули змішаний вміст, власник веб-сайту повинен це виправити.
