Yra dviejų tipų mišrus turinys - vienas iš jų yra blogesnis už kitą, bet ir nėra gerai. Įspėjimai apie mišrų turinį parodo, kad lankotame tinklalapyje yra kažkas netikslumų.
Kas yra mišrus turinys?
Visa tai priklauso nuo HTTP ir HTTPS skirtumų. HTTP yra dažniausiai naudojamas ryšio tipas - kai lankotės svetainėje naudojant HTTP protokolą, jūsų ryšys su svetaine nėra apsaugotas. Kiekvienas slapyvardis eismo metu gali matyti peržiūrimą puslapį ir visus duomenis, kuriuos siunčiate pirmyn ir atgal.
Štai kodėl turime HTTPS, kuris tiesiog "HTTP Secure." HTTPS sukuria saugų ryšį tarp jūsų ir žiniatinklio serverio. Ryšys yra užkoduotas ir autentifikuotas, todėl niekas negali stebėti jūsų srauto ir jūs turite tam tikrą įsitikinimą, kad esate prisijungę prie tinkamos svetainės. Tai labai svarbu, siekiant užtikrinti paskyros slaptažodžius ir mokėjimo internetu duomenis, užtikrinant, kad niekas negalėtų jų pasiklausyti.
Įspėjimai apie mišrų turinį rodo problemą su tinklalapiu, prie kurio prisijungiate per HTTPS. HTTPS ryšys turėtų būti saugus, tačiau interneto puslapio šaltinio kodas traukia kitus išteklius naudojant nesaugų HTTP protokolą, o ne HTTPS. Jūsų žiniatinklio naršyklės adreso juosta sako, kad esate prisijungę prie "HTTPS", tačiau šiame puslapyje taip pat įkeliami ištekliai su nesaugiu HTTP protokolu fone. Norint užtikrinti, kad žinote, kad naudojamas tinklalapis nėra visiškai saugus, naršyklėse rodomas įspėjimas, kad puslapyje yra tiek HTTPS, tiek HTTP turinys - mišrus turinys, kitaip tariant.
Kodėl tai pavojinga
Štai kodėl tai iš tikrųjų pavojinga. Tarkime, kad esate mokėjimo puslapyje ir jūs ketinate įvesti savo kredito kortelės numerį. Mokėjimo puslapis nurodo, kad tai yra užkoduotas HTTPS ryšys, tačiau matote perspėjimą apie mišrų turinį. Tai turėtų pakelti raudoną vėliavėlę. Gali būti, kad įvesta mokėjimo informacija gali būti užfiksuota nesaugiu turiniu ir siunčiama per nesaugų ryšį, pašalinant HTTPS saugumo pranašumą - kažkas gali pasiklausyti ir matyti jūsų slaptus duomenis.
Kadangi HTTP autentifikuoja žiniatinklio serverį taip pat, kaip veikia HTTPS, taip pat gali būti, kad saugi HTTPS svetainė, kuri traukia scenarijų iš HTTP svetainės, gali būti apgaulėta į traukiant atakujo scenarijų ir paleisti jį saugioje svetainėje. Kai naudojamas HTTPS, turite daugiau garantijų, kad turinys nebuvo pažeistas ir yra teisėtas.
Abiem atvejais tai pašalina saugaus HTTPS ryšio privalumus. Gali būti, kad svetainė gali įspėti apie neapsaugotą turinį ir vis tiek saugiai saugoti jūsų asmeninius duomenis, bet mes tikrai nežinome ir neatsižvelgiama į riziką, todėl interneto naršyklės įspėja jus, kai susirenka ne svetainė tinkamai koduojami.
Aktyvus turinys ir mišrus pasyvus turinys
Yra iš tikrųjų dviejų rūšių mišrus turinys. Labiau pavojinga yra "mišrus aktyvus turinys" arba "mišrus scenarijus". Tai įvyksta, kai HTTPS svetainė įkelia scenarijų bylą per HTTP. Failas scenarijus gali paleisti bet kokį kodą puslapyje, kuriame jis nori, todėl pakrovimas scenarijus per nesaugų ryšį visiškai sugadina dabartinio puslapio saugumą. Interneto naršyklės paprastai blokuoja tokio tipo mišrų turinį.
Antrasis tipas yra "mišrus pasyvus turinys" arba "mišrus rodymo turinys". Tai įvyksta, kai HTTPS svetainė per HTTP ryšį įkelia kažką panašaus į vaizdo ar garso failą. Toks tipo turinys negali sugadinti puslapio saugumo tokiu pačiu būdu, taigi naršyklės nereaguoja taip grubiai. Tačiau vis dar bloga saugumo praktika, galinti sukelti problemų. Pavyzdžiui, užpuolikas gali pakeisti vaizdą apgaulingu vaizdu, klastojant teoriškai saugiu puslapiu. Vaizdo įkėlimo užklausoje taip pat yra antraščių, kuriose yra slapukų informacija, susieta su svetaine, taigi netgi įkeliant vaizdą per nesaugus ryšį gali kilti problemų. Interneto naršyklės dažnai rodo įspėjimo piktogramą ar pranešimą, o ne visiškai blokuoja turinį, nes tokio pobūdžio mišrus turinys vis dar yra toks įprastas realiose svetainėse. "Chrome" pamatysite spyną su geltonu trikampiu.
Ką daryti, kai matote įspėjimą apie mišrią medžiagą
Paprastai žiniatinklio naršyklės paprastai blokuoja labiausiai pavojingus mišriojo turinio tipus. Neatblokuokite. Jei negalite prisijungti prie svetainės arba įvesti informaciją apie mokėjimą internete be pakrovimo mišrių turinį, turėtumėte tiesiog palikti svetainę ir nepateikti savo informacijos į nesaugią interneto svetainę. Tegul svetainių savininkai žino, kad jų svetainė yra nesaugi ir neveikia.
Jei matote įspėjimą, kad puslapyje yra kitų išteklių, kurie gali būti nepatikimi, vis tiek gali saugiai prisijungti. Tai nėra geras ženklas, jei tokia problema yra tokia pat svarbi svetainė kaip jūsų bankas, tačiau šis įspėjamasis mišraus turinio tipas yra labai įprastas.
Kita vertus, įspėjimai apie mišrų turinį nėra labai svarbūs, jei naudojatės svetaine, kuriai nereikia HTTPS.Visi įspėjimai apie mišrią turinį reiškia, kad tinklalapis užtikrina HTTPS saugumą - kitaip tariant, blogiausiu atveju lankomas tinklalapis yra toks pat nesaugus kaip ir standartinė HTTP svetainė. Taigi, jei jūs lankėtės tokioje svetainėje kaip "Wikipedia", kad galėtumėte skaityti keletą straipsnių ir pamatėte perspėjimą apie mišrų turinį, jums nereikės daugiau dėmesio skirti tai. Blogiausiu atveju jis yra toks pat nesaugus, kaip jūs skaitote straipsnius "Wikipedia" apie standartinį HTTP ryšį, kurio vis tiek neturėtumėte jokių problemų.
Kodėl kai kurie interneto puslapiai turi šią problemą
Šią klaidą matysite tik tuo atveju, jei yra problema, kodėl tinklalapis yra užkoduotas. Jei tinklalapis pateikiamas per HTTPS, jis taip pat turėtų naudoti HTTPS protokolą, norint pagaminti scenarijų failus ir kitą turinį, kurio reikia. Interneto svetainių kūrėjai turėtų išbandyti savo tinklalapius, užtikrinant, kad naudotojų naršyklėse jie nesukeltų baisių įspėjimų. Jei esate vartotojas, negalite nieko apie tai padaryti - svetainės savininkas turi tai išspręsti.
Jei esate žiniatinklio kūrėjas, viskas, ko jums reikia padaryti, yra užtikrinti, kad jūsų HTTPS puslapiai apkrovos turinį iš HTTPS URL, o ne HTTP URL. Vienas iš būdų tai padaryti yra padaryti visą jūsų svetainę dirbti tik per SSL, todėl viskas naudoja tik HTTPS.
Jei norite sukurti puslapį, kuris gali būti įvestas per HTTP arba HTTPS ir automatiškai atliekamas tinkamas dalykas, galite naudoti "protokolų santykinius URL", kad vartotojo naršyklė automatiškai pasirinktų HTTP arba HTTPS, priklausomai nuo to, kuris protokolas vartotojas yra susijunges su. Pavyzdžiui, atrodo, kad būtų rodomas atitinkamas protokolo santykinis URL įkeliant vaizdą
Interneto naršyklės automatiškai blokuoja mišrų turinį arba jūsų apsaugą, todėl yra priežastis. Jei jums reikia naudoti saugią svetainę, kuri tinkamai neveikia, nebent įjungiate mišrų turinį, svetainės savininkas ją turėtų išspręsti.
