Úvodná » ako » Čo je to výstraha so zmiešaným obsahom?

    Čo je to výstraha so zmiešaným obsahom?

    "Táto stránka obsahuje nezabezpečený obsah" "zobrazí sa iba zabezpečený obsah;" "Firefox zablokoval obsah, ktorý nie je bezpečný." Príležitostne narazíte na tieto upozornenia počas prehliadania webu, ale čo presne to znamená?

    Existujú dva druhy zmiešaného obsahu - jeden je horší než druhý, ale ani jeden nie je dobrý. Upozornenia so zmiešaným obsahom naznačujú, že niečo nie je v poriadku s webovou stránkou, ktorú navštevujete.

    Čo je zmiešaný obsah?

    To všetko sa týka rozdielu medzi HTTP a HTTPS. HTTP je najčastejšie používaný typ pripojenia - keď navštívite webovú lokalitu pomocou protokolu HTTP, vaše pripojenie k webovej lokalite nie je zabezpečené. Každý, kto odpočúva na návštevnosti, môže zobraziť stránku, ktorú prezeráte, a všetky údaje, ktoré odosielate dopredu a dozadu.

    Preto máme HTTPS, čo je doslova "HTTP Secure." HTTPS vytvára zabezpečené spojenie medzi vami a webovým serverom. Pripojenie je zašifrované a overené, takže nikto nemôže sledovať vašu návštevnosť a máte istotu, že ste pripojení na správnu webovú stránku. To je mimoriadne dôležité pre zabezpečenie hesiel účtu a on-line platobných dát, ktoré zabezpečia, že nikto ich nebude môcť odposlať.

    Zmiešané upozornenia týkajúce sa obsahu naznačujú problém s webovou stránkou, na ktorú pristupujete cez protokol HTTPS. Spojenie HTTPS by malo byť zabezpečené, ale zdrojový kód webovej stránky zaťahuje iné zdroje s neistým HTTP protokolom, nie HTTPS. Panel s adresou vášho webového prehliadača povedie, že ste pripojení k HTTPS, ale stránka načíta aj zdroje s neistým protokolom HTTP na pozadí. Aby ste vedeli, že webová stránka, ktorú používate, nie je úplne bezpečná, prehliadače zobrazujú upozornenie, že stránka obsahuje obsah HTTPS a HTTP - zmiešaný obsah, inými slovami.

    Prečo je to nebezpečné

    Tu je dôvod, prečo je to skutočne nebezpečné. Povedzme, že ste na platobnej stránke a chystáte sa zadať číslo svojej kreditnej karty. Stránka s platbami naznačuje, že ide o šifrované pripojenie HTTPS, ale vidíte varovanie o zmiešanom obsahu. Tým by sa mal vytvoriť červený príznak. Je možné, že údaje o platbe, ktoré zadáte, mohli byť zachytené nezabezpečeným obsahom a odosielané cez neisté pripojenie, čím sa odstránia výhody zabezpečenia protokolu HTTPS - niekto by mohol odposlali a zobraziť vaše citlivé údaje.

    Pretože protokol HTTP neoveruje webový server rovnakým spôsobom ako HTTPS, je tiež možné, že zabezpečený web HTTPS, ktorý vloží skript z lokality HTTP, môže byť napádaný tak, že vytiahne skript útočníka a spusti ho na inak bezpečnom mieste. Keď sa používa protokol HTTPS, máte viac uistenia, že obsah nebol premenený a je legitímny.

    V obidvoch prípadoch to eliminuje výhodu zabezpečeného pripojenia HTTPS. Je možné, že webové stránky môžu mať neisté obsahové upozornenie a stále zabezpečujú vaše osobné údaje správne, ale naozaj nevieme a nemali by sme riskovať - ​​preto vás webové prehliadače varujú, keď narazíte na webové stránky, ktoré nie sú správne kódované.

    Zmiešaný aktívny obsah a zmiešaný pasívny obsah

    Existujú v skutočnosti dva typy zmiešaného obsahu. Čím nebezpečnejšia je "zmiešaný aktívny obsah" alebo "zmiešané skriptovanie". K tomu dochádza, keď stránka HTTPS načíta súbor skriptu cez protokol HTTP. Súbor skriptu môže spustiť ľubovoľný kód na stránke, ktorú chce, takže načítanie skriptu cez neisté pripojenie úplne zničí bezpečnosť aktuálnej stránky. Webové prehliadače úplne blokujú tento typ zmiešaného obsahu.

    Druhým typom je "zmiešaný pasívny obsah" alebo "zmiešaný obsah zobrazenia". To sa vyskytuje, ak sa na webe HTTPS načítá niečo ako obrázok alebo zvukový súbor cez HTTP spojenie. Tento typ obsahu nemôže narušiť bezpečnosť stránky rovnakým spôsobom, takže webové prehliadače nereagujú tak tvrdo. Je to však stále zlá bezpečnostná prax, ktorá by mohla spôsobiť problémy. Napríklad útočník by mohol nahradiť obrázok zavádzajúcim obrazom, ktorý by mohol manipulovať s teoreticky bezpečnou stránkou. Požiadavka na načítanie obrázka obsahuje aj hlavičky, ktoré obsahujú informácie o súboroch cookie priradené k webovým stránkam, takže aj načítanie obrázka cez neisté pripojenie môže spôsobiť problémy. Webové prehliadače často zobrazujú ikonu upozornenia alebo správu, a nie úplné zablokovanie obsahu, pretože tento typ zmiešaného obsahu je stále taký bežný na skutočných webových stránkach. V prehliadači Chrome sa zobrazí visiaci zámok so žltým trojuholníkom.

    Čo robiť, keď vidíte upozornenie na zmiešaný obsah

    Webové prehliadače vo všeobecnosti blokujú najnebezpečnejšie typy zmiešaného obsahu. Neodstraňujte ho. Ak sa nemôžete prihlásiť na webové stránky alebo zadať podrobnosti o platbe online bez načítania zmiešaného obsahu, mali by ste jednoducho opustiť webové stránky a nezadávať svoje informácie na nezabezpečenú webovú stránku. Nechajte majiteľov webových stránok vedieť, že ich stránka je nezabezpečená a zlomená.

    Ak sa zobrazí upozornenie, že stránka obsahuje iné zdroje, ktoré nemusia byť zabezpečené, je pravdepodobne bezpečné prihlásiť sa. Nie je to dobré znamenie, ak má taký dôležitý web ako vaša banka, ale tento typ varovania o zmiešanom obsahu je veľmi častý.

    Na druhej strane, varovanie zmiešaného obsahu nie je naozaj veľké, ak pristupujete na webové stránky, ktoré nepotrebujú HTTPS. Všetky upozornenia týkajúce sa zmiešaného obsahu spočívajú v tom, že webová stránka zaručuje, že bude mať prospech z zabezpečenia protokolu HTTPS - inými slovami, v najhoršom prípade je navštívená webová stránka rovnako neistá ako štandardný web HTTP. Takže ak ste pristupovali na webové stránky ako Wikipedia, len aby ste si prečítali niektoré články a videli ste varovanie o zmiešanom obsahu, nemusíte sa o to moc starať. V najhoršom prípade je to rovnako neisté, ako keby ste čítali články na Wikipédii cez štandardné HTTP spojenie, ktoré by ste aj tak nemali problém.

    Prečo niektoré webové stránky majú tento problém

    Túto chybu uvidíte iba vtedy, ak sa vyskytne problém s kódovaním webovej stránky. Ak sa cez HTTPS zobrazuje webová stránka, mala by tiež použiť protokol HTTPS na vytiahnutie súborov skriptov a ďalšieho obsahu, ktorý vyžaduje. Weboví vývojári by mali testovať svoje webové stránky a zabezpečiť, aby v prehliadačoch používateľov nevyvolávali strašidelné upozornenia. Ak ste používateľ, nemôžete s tým nič skutočne urobiť - je to na majiteľovi webových stránok, aby ste to vyriešili.

    Ak ste webový vývojár, stačí, aby vaše stránky HTTPS načítavali obsah z webových adries HTTPS, a nie z adries HTTP. Jedným zo spôsobov, ako to dosiahnuť, je, aby sa vaša webová lokalita používala len prostredníctvom SSL, takže všetko používa protokol HTTPS.

    Ak chcete vytvoriť stránku, ktorá sa môže zobrazovať cez protokol HTTP alebo HTTPS a robí správne to správne, môžete použiť "relatívne adresy URL protokolu", aby ste prehliadač používateľa automaticky vybral protokol HTTP alebo HTTPS podľa toho, ktorý protokol má používateľ spojený s. Napríklad by mala vyzerať relatívna adresa URL na načítanie obrázka


    Webové prehliadače automaticky blokujú zmiešaný obsah alebo vašu ochranu, a to je dôvod, prečo. Ak potrebujete použiť bezpečnú webovú stránku, ktorá nefunguje správne, ak povolíte zmiešaný obsah, majiteľ webovej stránky by mal opraviť.