Kas tiksliai yra mišraus turinio įspėjimas?
„Ši svetainė turi nesaugų turinį“, „rodomas tik saugus turinys“, „Firefox užblokavo saugų turinį.“ Kartais naršydami žiniatinklyje jūs aptiksite šiuos įspėjimus, bet ką jie tiksliai reiškia?
Yra dviejų rūšių mišraus turinio - vienas yra blogesnis už kitą, bet nė vienas nėra geras. Įvairūs turinio įspėjimai rodo, kad kažkas negerai, kai lankotės tinklalapis.
Kas yra mišrus turinys?
Visa tai pasiekia skirtumą tarp HTTP ir HTTPS. HTTP yra dažniausiai naudojamas ryšio tipas - kai lankotės svetainėje, naudojančioje HTTP protokolą, jūsų ryšys su svetaine nėra apsaugotas. Kiekvienas, kuris klausosi srauto, gali matyti peržiūrėtą puslapį ir visus duomenis, kuriuos siunčiate pirmyn ir atgal.
Štai kodėl mes turime HTTPS, kuris yra tiesiog „HTTP Secure“. HTTPS sukuria saugų ryšį tarp jūsų ir žiniatinklio serverio. Ryšys yra užšifruotas ir patvirtintas, todėl niekas negali užgniaužti jūsų srauto ir turite tam tikrą patikinimą, kad esate prisijungę prie tinkamos svetainės. Tai ypač svarbu norint užtikrinti paskyros slaptažodžius ir mokėjimų internetu duomenis, užtikrinant, kad niekas negalėtų jų pasiklausyti.
Įvairūs turinio įspėjimai rodo, kad yra problemų, susijusių su tinklalapiu, prie kurio prisijungiate per HTTPS. HTTPS ryšys turėtų būti saugus, tačiau tinklalapio šaltinio kodas traukia kitus išteklius nesaugiu HTTP protokolu, o ne HTTPS. Jūsų žiniatinklio naršyklės adreso juosta pasakys, kad esate prijungtas prie HTTPS, tačiau puslapyje taip pat yra išteklių, kuriuose fone yra nesaugaus HTTP protokolo. Siekiant užtikrinti, kad žinotumėte, jog naudojamas puslapis nėra visiškai saugus, naršyklėse rodomas įspėjimas, kad puslapis turi tiek HTTPS, tiek HTTP turinį - mišrią turinį, kitaip tariant,.
Kodėl tai pavojinga
Štai kodėl tai tikrai pavojinga. Tarkime, kad esate mokėjimo puslapyje ir ketinate įvesti savo kredito kortelės numerį. Mokėjimo puslapyje nurodoma, kad jis yra užšifruotas HTTPS ryšys, tačiau matote mišraus turinio įspėjimą. Tai turėtų pakelti raudoną vėliavą. Gali būti, kad įvestus mokėjimo duomenis gali užfiksuoti nesaugus turinys ir išsiųsti per nesaugų ryšį, pašalinant HTTPS saugumo naudą - kas nors galėtų pasiklausyti ir pamatyti slaptus duomenis.
Kadangi HTTP neatpažįsta žiniatinklio serverio tokiu pat būdu, kaip ir HTTPS, tai taip pat įmanoma, kad saugus HTTPS svetainė, ištraukianti scenarijų iš HTTP svetainės, gali būti apgaulinga į traukiant užpuoliko scenarijų ir paleisti jį kitoje saugioje svetainėje. Naudojant HTTPS, turite daugiau garantijų, kad turinys nebuvo sugadintas ir teisėtas.
Abiem atvejais tai pašalina saugios HTTPS ryšio naudą. Gali būti, kad svetainė gali turėti įspėjamą turinį ir vis dar tinkamai apsaugoti jūsų asmeninius duomenis, tačiau tikrai nežinome ir neturėtume rizikuoti - todėl interneto naršyklės jus įspėja, kai susiduriate su ne svetaine koduotas tinkamai.
Mišrus aktyvus turinys vs mišrus pasyvus turinys
Iš tikrųjų yra dviejų rūšių mišrios medžiagos. Pavojingesnis yra „mišrus aktyvus turinys“ arba „mišrus scenarijus“. Tai įvyksta, kai HTTPS svetainė įkelia scenarijų failą per HTTP. Skripto failas gali paleisti bet kurį kodą puslapyje, kurį jis nori, todėl scenarijaus įkėlimas į nesaugų ryšį visiškai sugadina dabartinio puslapio saugumą. Žiniatinklio naršyklės paprastai blokuoja šį mišraus turinio tipą.
Antrasis tipas yra „mišrus pasyvus turinys“ arba „mišrus ekrano turinys“. Tai įvyksta, kai HTTPS svetainė įkelia kažką panašaus į vaizdo ar garso failą per HTTP ryšį. Šio tipo turinys negali sugadinti puslapio saugumo tuo pačiu būdu, todėl interneto naršyklės nereaguoja taip griežtai. Tačiau vis dar yra bloga saugumo praktika, kuri gali sukelti problemų. Pvz., Užpuolikas gali pakeisti vaizdą klaidinančiu vaizdu, sugadindamas teoriškai saugų puslapį. Vaizdo įkėlimo užklausoje taip pat yra antraštės, kuriose yra slapukų informacija, susijusi su svetaine, todėl net ir įkeliant vaizdą nesaugiu ryšiu, gali kilti problemų. Žiniatinklio naršyklės dažnai rodo įspėjamąją piktogramą ar pranešimą, o ne visiškai užblokuoja turinį, nes tokio tipo mišrios medžiagos vis dar yra įprastos tikrose svetainėse. „Chrome“ pamatysite užraktą su geltonu trikampiu.
Ką daryti, kai matote mišraus turinio įspėjimą
Žiniatinklio naršyklės paprastai blokuoja pavojingiausius mišraus turinio tipus pagal numatytuosius nustatymus. Negalima atblokuoti. Jei negalite prisijungti prie interneto svetainės ar įvesti internetinę mokėjimo informaciją nekeldami mišraus turinio, turėtumėte tiesiog palikti svetainę ir nepateikti savo informacijos į nesaugią svetainę. Leiskite svetainės savininkams žinoti, kad jų svetainė yra nesaugi ir sugadinta.
Jei matote įspėjimą, kad puslapyje yra kitų išteklių, kurie gali būti nesaugūs, tikriausiai bet kada galite prisijungti. Tai nėra geras ženklas, jei svetainė yra tokia pat svarbi, kaip ir jūsų banke, tačiau tokio tipo mišraus turinio įspėjimas yra labai dažnas.
Kita vertus, mišrūs įspėjimai dėl turinio tikrai nėra didelis dalykas, jei naudojate svetainę, kuriai nereikia HTTPS. Visos mišrios turinio įspėjimo priemonės reiškia, kad tinklalapiui, kuris garantuoja naudą iš HTTPS saugumo, kitaip tariant, blogiausiu atveju, lankomas interneto puslapis yra nesaugus kaip standartinė HTTP svetainė. Taigi, jei naudojote tokią svetainę kaip „Wikipedia“ tik tam, kad perskaitytumėte kai kuriuos straipsnius, ir jūs matėte mišraus turinio įspėjimą, jums nereikėtų per daug rūpintis. Blogiausiu atveju tai lygiai taip pat nesaugu, kaip skaitote straipsnius apie „Wikipedia“ per standartinį HTTP ryšį, kurio vis tiek neturėtumėte daryti..
Kodėl kai kurie tinklalapiai turi šią problemą
Šią klaidą matysite tik tuo atveju, jei iškyla problema dėl kodo kodavimo. Jei tinklalapį aptarnaujate per HTTPS, jis taip pat turėtų naudoti „HTTPS“ protokolą, kad įtrauktų scenarijų failus ir kitą reikalingą turinį. Žiniatinklio kūrėjai turėtų išbandyti savo tinklalapius, užtikrindami, kad naudotojų naršyklėse jie nesukels baisių perspėjimų. Jei esate naudotojas, tai tikrai negalite nieko daryti - tai turi išspręsti svetainės savininkas.
Jei esate žiniatinklio kūrėjas, reikia tik užtikrinti, kad HTTPS puslapiai įkelia turinį iš HTTPS URL, o ne HTTP URL. Vienas iš būdų tai padaryti yra padaryti visą jūsų svetainę tik SSL, todėl viskas tiesiog naudoja HTTPS.
Jei norite sukurti puslapį, kuris gali būti aptarnaujamas per HTTP arba HTTPS ir atliktų teisingą dalyką, galite naudoti „protokolinius URL“, kad naudotojo naršyklė automatiškai pasirinktų HTTP arba HTTPS, priklausomai nuo to, kurį protokolą naudotojas naudoja susijunges su. Pvz., Atrodo, kad turėtų būti naudojamas protokolo santykinis URL įkelti vaizdą
Žiniatinklio naršyklės automatiškai blokuoja mišrų turinį arba jūsų apsaugą, ir todėl. Jei jums reikia naudoti saugią svetainę, kuri neveikia tinkamai, nebent įgalinsite mišrią turinį, svetainės savininkas turėtų ją išspręsti.