Co je to výstraha smíšeného obsahu?

Obsah:

Video: Co je to výstraha smíšeného obsahu?

Video: Co je to výstraha smíšeného obsahu?
Video: Как работают световые перья и световые пистолеты NES Zapper 2024, Březen
Co je to výstraha smíšeného obsahu?
Co je to výstraha smíšeného obsahu?
Anonim
"Tento web obsahuje nezabezpečený obsah" "zobrazí se pouze zabezpečený obsah;" "Firefox zablokoval obsah, který není bezpečný." Při prohlížení webu se občas setkáte s těmito varováními, ale co přesně to znamená?
"Tento web obsahuje nezabezpečený obsah" "zobrazí se pouze zabezpečený obsah;" "Firefox zablokoval obsah, který není bezpečný." Při prohlížení webu se občas setkáte s těmito varováními, ale co přesně to znamená?

Existují dva typy smíšeného obsahu - jeden je horší než druhý, ale ani jeden není dobrý. Upozornění na smíšené obsahy naznačují, že na webových stránkách, které navštěvujete, je něco špatně.

Co je to smíšený obsah?

To vše se skládá z rozdílu mezi HTTP a HTTPS. HTTP je nejčastěji používaný typ připojení - při návštěvě webových stránek pomocí protokolu HTTP není připojení k webu zabezpečeno. Každý, kdo odposlouchává návštěvnost, může vidět stránku, kterou prohlížíte, a veškerá data, která odesíláte sem a tam.

To je důvod, proč máme HTTPS, což je doslova "HTTP Secure." HTTPS vytváří zabezpečené spojení mezi vámi a webovým serverem. Spojení je šifrováno a ověřeno, takže nikdo nemůže sledovat vaši návštěvnost a máte jistotu, že jste připojeni k správnému webu. To je nesmírně důležité pro zabezpečení hesel účtu a platebních údajů online, takže nikdo je nemůže odposlouchávat.

Smíšená upozornění na obsah upozorňují na problém s webovou stránkou, na kterou přistupujete přes protokol HTTPS. Připojení HTTPS by mělo být zabezpečené, ale zdrojový kód webové stránky přitahuje další zdroje s nejistým HTTP protokolem, nikoliv HTTPS. Adresní pruh vašeho webového prohlížeče bude říkat, že jste připojeni k HTTPS, ale stránka načítá na pozadí také zdroje s nejistým protokolem HTTP. Chcete-li vědět, že webová stránka, kterou používáte, není zcela bezpečná, prohlížeče zobrazí varování, že stránka má obsah HTTPS i HTTP - smíšený obsah, jinými slovy.

Image
Image

Proč je to nebezpečné

Zde je důvod, proč je to skutečně nebezpečné. Řekněme, že jste na platební stránce a chystáte se zadat číslo kreditní karty. Na stránce plateb se uvádí, že je to šifrované připojení HTTPS, ale vidíte varování o smíšené síti. To by mělo zvýšit červenou vlajku. Je možné, že údaje o platbě, které zadáte, mohly být zachyceny nezabezpečeným obsahem a posílány přes nejisté připojení, čímž se odstraní výhoda zabezpečení HTTPS - někdo by mohl odposlouchávat a zobrazit vaše citlivá data.

Vzhledem k tomu, že protokol HTTP neověřuje webový server stejným způsobem jako HTTPS, je také možné, že bezpečný web HTTPS, který vkládá skript z webu HTTP, by mohl být podveden tak, že by mohl vytahovat skript útočníka a spustit ho na jinak bezpečném místě. Pokud používáte protokol HTTPS, máte více ujištění, že obsah nebyl poškozen a je legitimní.

V obou případech to eliminuje výhodu bezpečného připojení HTTPS. Je možné, že webová stránka by mohla obsahovat varování týkající se nejasného obsahu a vaše osobní údaje stále bezpečně chránit, ale opravdu nevíme jistě a neměli bychom riskovat - proto vás webové prohlížeče varují, když narazíte na webové stránky, které nejsou kódován správně.

Image
Image

Smíšený aktivní obsah vs. smíšený pasivní obsah

Ve skutečnosti existují dva druhy smíšeného obsahu. Čím nebezpečnější je "smíšený aktivní obsah" nebo "smíšené skriptování". K tomu dochází, když stránka HTTPS načte soubor skriptu přes protokol HTTP. Soubor skriptu může spustit jakýkoli kód na stránce, kterou chce, takže načtení skriptu přes nejisté připojení zcela zničí zabezpečení aktuální stránky. Webové prohlížeče obecně blokují tento typ smíšeného obsahu zcela.

Druhý typ je "smíšený pasivní obsah" nebo "smíšený obsah zobrazení". K tomu dochází, když na serveru HTTPS načte web přes HTTPS něco jako obrázek nebo zvukový soubor. Tento typ obsahu nemůže narušit zabezpečení stránky stejným způsobem, takže webové prohlížeče nereagují tak tvrdě. Je to však stále špatná bezpečnostní praxe, která by mohla způsobit problémy. Například útočník by mohl nahradit obrázek zavádějícím obrazem, který by mohl manipulovat s teoreticky bezpečnou stránkou. Požadavek na načtení obrázku také obsahuje hlavičky, které obsahují informace o souborech souvisejících s webovými stránkami, takže dokonce i načítání obrázku přes nejisté připojení může způsobit problémy. Webové prohlížeče často zobrazují varovnou ikonu nebo zprávu spíše než úplné blokování obsahu, neboť tento typ smíšeného obsahu je stále na běžných webových stránkách stále běžný. V prohlížeči Chrome se zobrazí visací zámek se žlutým trojúhelníkem.

Image
Image

Co dělat, když vidíte upozornění na smíšený obsah

Webové prohlížeče zpravidla blokují nejnebezpečnější typy smíšeného obsahu ve výchozím nastavení. Neblokujte ji. Pokud se nemůžete přihlásit na webové stránky nebo zadat podrobnosti o platbách online, aniž byste museli načítat smíšený obsah, měli byste prostě opustit web a nezadávat informace na nezabezpečenou webovou stránku. Umožněte majitelům webových stránek vědět, že jejich stránky jsou nezabezpečené a poškozené.

Pokud uvidíte varování, že stránka obsahuje jiné zdroje, které nemusí být zabezpečené, je pravděpodobně bezpečné přihlášení. Není to dobré znamení, pokud má webový server tak důležitý jako vaše banka tento problém, ale tento typ varování smíšeného obsahu je velmi běžné.

Na druhou stranu, varování týkající se smíšeného obsahu nejsou opravdu velké, pokud přistupujete k webovým stránkám, které nepotřebují protokol HTTPS.Všechna upozornění na smíšený obsah znamená, že webová stránka zaručuje, že bude mít prospěch z zabezpečení protokolu HTTPS - jinými slovy, v nejhorším případě je navštívená webová stránka nejistá jako standardní web HTTP. Takže pokud jste měli přístup na webové stránky, jako je Wikipedia, jen abyste si přečetli nějaké články a viděli jste varování o smíšené náplni, nemusíte se o to moc starat. V nejhorším scénáři je to stejně nejisté, jako kdybyste četli články na Wikipedii přes standardní HTTP připojení, které byste stejně neměli žádný problém.

Image
Image

Proč některé webové stránky mají tento problém

Tato chyba se zobrazí pouze v případě, že se vyskytne problém s kódováním webové stránky. Pokud se přes HTTPS zobrazuje webová stránka, měla by také použít protokol HTTPS pro stahování souborů skriptů a dalšího obsahu, který vyžaduje. Weboví vývojáři by měli otestovat své webové stránky a zajistit, aby v prohlížečích uživatelů nevyvolávali strašidelné varování. Pokud jste uživatel, nemůžete s tím nic opravdu udělat - je to na vlastníkovi webu, aby to opravil.

Pokud jste vývojář webu, stačí zajistit, aby vaše stránky HTTPS načítaly obsah z adres URL HTTPS, nikoli adres URL HTTP. Jedním ze způsobů, jak to udělat, je, aby vaše webové stránky fungovaly pouze přes protokol SSL, takže vše pouhým používá protokol HTTPS.

Chcete-li vytvořit stránku, kterou lze zobrazit přes protokol HTTP nebo HTTPS a provedete správnou funkci, můžete použít relativní URL protokolů, aby uživatelský prohlížeč automaticky zvolil protokol HTTP nebo HTTPS podle toho, který protokol má uživatel spojeno s. Může například vypadat relativní adresa protokolu pro načtení obrázku

Image
Image
. Prohlížeč automaticky přidá buď http: nebo https: na začátek adresy URL, podle toho, co je vhodné. Samozřejmě budete muset zajistit, aby stránky, na které odkazujete, nabízely zdroj přes HTTP i HTTPS.

Image
Image

Webové prohlížeče automaticky blokují smíšený obsah nebo ochranu, a to je důvod, proč. Pokud potřebujete použít zabezpečený web, který nefunguje správně, pokud povolíte smíšený obsah, měl by jej majitel opravit.

Doporučuje: