Kaj točno je mešano opozorilo o vsebini?
"Ta stran ima negotovo vsebino;" "prikazana je samo varna vsebina;" "Firefox ima blokirano vsebino, ki ni varna." Ta opozorila boste občasno naleteli med brskanjem po spletu, toda kaj točno pomenijo?
Obstajata dve vrsti mešane vsebine - ena je slabša od druge, vendar ni dobra. Opozorila o mešani vsebini kažejo, da je nekaj narobe z obiskano spletno stranjo.
Kaj je mešana vsebina?
Vse to se nanaša na razliko med HTTP in HTTPS. HTTP je najpogosteje uporabljena vrsta povezave - ko obiščete spletno mesto s protokolom HTTP, vaša povezava s spletnim mestom ni zavarovana. Vsakdo, ki prisluškuje prometu, si lahko ogleda stran, ki jo gledate, in vse podatke, ki jih pošiljate.
Zato imamo HTTPS, ki je dobesedno »HTTP Secure«. HTTPS ustvari varno povezavo med vami in spletnim strežnikom. Povezava je šifrirana in overjena, tako da nihče ne more brskati po vašem prometu in imate nekaj zagotovila, da ste povezani s pravilno spletno stranjo. To je izredno pomembno za zagotavljanje gesel za račun in spletnih podatkov o plačilih, kar zagotavlja, da jih nihče ne more prisluškovati.
Opozorila o mešani vsebini kažejo na težavo s spletno stranjo, do katere dostopate prek HTTPS. Povezava HTTPS mora biti varna, vendar izvorna koda spletne strani privlači druge vire z nezaščitenim protokolom HTTP, ne s HTTPS. V naslovni vrstici vašega spletnega brskalnika bo povedano, da ste povezani s HTTPS, vendar pa stran tudi v ozadju nalaga vire z negotovim protokolom HTTP. Če želite vedeti, da spletna stran, ki jo uporabljate, ni popolnoma varna, brskalniki prikažejo opozorilo, da ima stran vsebino HTTPS in HTTP - mešano vsebino, z drugimi besedami.
Zakaj je to nevarno
Zato je to dejansko nevarno. Recimo, da ste na plačilni strani in da boste vnesli številko kreditne kartice. Na strani za plačilo je prikazana šifrirana povezava HTTPS, vendar je prikazano opozorilo z mešano vsebino. To bi moralo dvigniti rdečo zastavo. Možno je, da so podrobnosti o plačilu, ki jih vnesete, zajete z nezanesljivo vsebino in poslane prek nezanesljive povezave, s čimer se odpravi prednost varnosti HTTPS - nekdo bi lahko prisluškoval in videl vaše občutljive podatke.
Ker HTTP ne overja spletnega strežnika na enak način kot HTTPS, je možno tudi, da je varno spletno mesto HTTPS, ki vstavlja skript s spletnega mesta HTTP, prevarano, da vleče napadalčevo skripto in jo izvaja na sicer varni strani. Če uporabljate HTTPS, imate več zagotovil, da vsebina ni bila spremenjena in da je legitimna.
V obeh primerih to odpravlja prednosti varne povezave HTTPS. Možno je, da ima spletno mesto opozorilo o negotovi vsebini in da še vedno pravilno varuje vaše osebne podatke, vendar resnično ne vemo zagotovo in ne bi smeli tvegati - zato vas spletni brskalniki opozarjajo, ko naletite na spletno mesto, ki ni pravilno kodirana.
Mešana aktivna vsebina v primerjavi z mešano pasivno vsebino
V resnici obstajata dve vrsti mešane vsebine. Bolj nevarna je »mešana aktivna vsebina« ali »mešani skript«. To se zgodi, ko spletno mesto HTTPS naloži skriptno datoteko prek HTTP. Datoteka skripta lahko zažene katero koli kodo na strani, ki jo želi, zato nalaganje skripta prek nezanesljive povezave popolnoma uniči varnost trenutne strani. Spletni brskalniki na splošno blokirajo to vrsto mešane vsebine.
Druga vrsta je »mešana pasivna vsebina« ali »mešana prikazna vsebina«. To se zgodi, ko spletno mesto HTTPS ob povezavi HTTP naloži nekaj podobnega slikovni ali zvočni datoteki. Ta vrsta vsebine ne more uničiti varnosti strani na enak način, zato spletni brskalniki ne reagirajo tako ostro. Vendar je to še vedno slaba varnostna praksa, ki lahko povzroči težave. Na primer, napadalec bi lahko zamenjal sliko z zavajajočo sliko, pri čemer bi se motila s teoretično varno stranjo. Zahteva za nalaganje slike vsebuje tudi glave, ki vsebujejo informacije o piškotkih, povezane s spletnim mestom, tako da lahko tudi nalaganje slike prek nezanesljive povezave povzroči težave. Spletni brskalniki pogosto prikažejo opozorilno ikono ali sporočilo, ne pa v celoti blokirajo vsebino, saj je ta vrsta mešane vsebine še vedno tako pogosta na resničnih spletnih mestih. V Chromu boste videli ključavnico z rumenim trikotnikom.
Kaj storiti, ko vidite mešano opozorilo o vsebini
Spletni brskalniki privzeto blokirajo najbolj nevarne vrste mešane vsebine. Ne odblokirajte je. Če se ne morete prijaviti na spletno mesto ali vnesti podrobnosti o spletnem plačilu, ne da bi nalagali mešano vsebino, preprosto zapustite spletno mesto in ne vnašajte svojih podatkov na nezaščiteno spletno mesto. Naj lastniki spletnih strani vedo, da je njihova stran nezanesljiva in pokvarjena.
Če vidite opozorilo, da stran vsebuje druge vire, ki morda niso varni, se je verjetno vseeno varno prijaviti. To ni dober znak, če je spletna stran tako pomembna kot vaša banka, vendar je ta vrsta opozorila z mešano vsebino zelo pogosta.
Po drugi strani pa opozorila z mešano vsebino niso resnično velika, če dostopate do spletnega mesta, ki ne potrebuje HTTPS. Vse opozorilo z mešano vsebino je, da je spletna stran zagotovljena za zaščito HTTPS - z drugimi besedami, v najslabšem primeru je spletna stran, ki jo obiščete, negotova kot standardno spletno mesto HTTP. Torej, če ste dostopali do spletnega mesta, kot je Wikipedija, samo da bi prebrali nekaj člankov in videli opozorilo z mešano vsebino, vam ni treba skrbeti za to preveč. V najslabšem možnem primeru je enako negotovo, kot če bi brali članke na Wikipediji prek standardne povezave HTTP, ki bi jo vseeno imeli težave..
Zakaj imajo nekatere spletne strani ta problem
To napako boste videli le, če obstaja težava s tem, kako je spletna stran kodirana. Če je spletna stran vročena prek protokola HTTPS, mora uporabiti tudi protokol HTTPS za vstavljanje datotek skript in druge vsebine, ki jo zahteva. Spletni razvijalci bi morali preizkusiti svoje spletne strani in zagotoviti, da ne bodo sprožili grozljivih opozoril v brskalnikih uporabnikov. Če ste uporabnik, ne morete storiti ničesar o tem - lastnik spletnega mesta je tisti, ki to popravi.
Če ste spletni razvijalec, morate le zagotoviti, da vaše strani HTTPS naložijo vsebino iz URL-jev HTTPS, ne URL-jev HTTP. Eden od načinov za to je, da celotno spletno mesto deluje samo prek SSL-ja, zato vse uporablja samo HTTPS.
Če želite narediti stran, ki jo lahko strežete prek HTTP ali HTTPS in samodejno izvede pravo stvar, lahko uporabite »relativne URL-je protokola«, da bo brskalnik uporabnika samodejno izbral HTTP ali HTTPS, odvisno od tega, kateri protokol je uporabnik povezano z. Na primer, protokolni relativni URL za nalaganje slike bi bil podoben
Spletni brskalniki samodejno blokirajo mešano vsebino ali vašo zaščito in zato. Če morate uporabljati varno spletno mesto, ki ne deluje pravilno, če ne omogočite mešane vsebine, ga mora popraviti lastnik spletnega mesta.