Kas tieši ir jaukta satura brīdinājums?
“Šī vietne satur nedrošu saturu.” “Tiek rādīts tikai drošs saturs;” „Firefox ir bloķējis drošu saturu”.?
Ir divu veidu jaukts saturs - viens ir sliktāks par otru, bet neviens nav labs. Jaukta satura brīdinājumi norāda, ka ar jūsu apmeklēto tīmekļa lapu kaut kas nav kārtībā.
Kas ir jauktais saturs?
Tas viss ir atšķirīgs starp HTTP un HTTPS. HTTP ir visbiežāk izmantotais savienojuma veids - kad apmeklējat vietni, izmantojot HTTP protokolu, jūsu savienojums ar vietni nav nodrošināts. Ikviens, kas noklausās par datplūsmu, var redzēt jūsu skatīto lapu un visus datus, kurus sūtāt uz priekšu un atpakaļ.
Tāpēc mums ir HTTPS, kas ir burtiski “HTTP Secure”. HTTPS izveido drošu savienojumu starp jums un tīmekļa serveri. Savienojums ir šifrēts un autentificēts, tāpēc neviens nevar ielauzties jūsu datplūsmā, un jums ir kāda pārliecība, ka esat izveidojis savienojumu ar pareizo vietni. Tas ir ārkārtīgi svarīgi, lai nodrošinātu konta paroles un tiešsaistes maksājumu datus, nodrošinot, ka neviens nevar noklausīties.
Jaukti satura brīdinājumi norāda uz problēmu ar tīmekļa lapu, kurā piekļūstat HTTPS. HTTPS savienojumam jābūt drošam, bet tīmekļa lapas pirmkods velk citus resursus ar nedrošu HTTP protokolu, nevis HTTPS. Tīmekļa pārlūkprogrammas adrešu joslā būs teikts, ka esat savienots ar HTTPS, bet lapa arī ielādē resursus ar nedrošu HTTP protokolu fonā. Lai pārliecinātos, ka lietotā tīmekļa lapa nav pilnīgi droša, pārlūkprogrammās tiek parādīts brīdinājums, ka lapā ir gan HTTPS, gan HTTP saturs - jaukts saturs, citiem vārdiem sakot.
Kāpēc tas ir bīstami
Lūk, kāpēc tas patiesībā ir bīstams. Pieņemsim, ka esat maksājuma lapā un jūs gatavojaties ievadīt savu kredītkartes numuru. Maksājuma lapā ir norādīts, ka tas ir šifrēts HTTPS savienojums, bet jūs redzat jaukta satura brīdinājumu. Tam vajadzētu paaugstināt sarkanu karogu. Iespējams, ka ievadītos maksājuma datus var uztvert nedrošs saturs un nosūtīt pa nedrošu savienojumu, novēršot HTTPS drošības priekšrocības - kāds varētu noklausīties un redzēt jūsu konfidenciālos datus.
Tā kā HTTP autentificē tīmekļa serveri tādā pašā veidā, kā to dara HTTPS, ir iespējams, ka drošu HTTPS vietni, kas no HTTP vietnes ievelk skriptu, var aplaupīt uzbrucēja skripta vilkšanā un darboties citā drošā vietnē. Kad tiek izmantota HTTPS, jums ir vairāk pārliecību, ka saturs nav bojāts un ir likumīgs.
Abos gadījumos tas novērš ieguvumu no droša HTTPS savienojuma. Iespējams, ka tīmekļa vietne var būt droša satura brīdinājuma un joprojām aizsargā jūsu personas datus, bet mēs tiešām nezinām, un nevajadzētu riskēt - tāpēc tīmekļa pārlūkprogrammas brīdina, kad atrodaties tīmekļa vietnē, kas nav pareizi kodēti.
Jaukts aktīvais saturs pret jaukto pasīvo saturu
Patiesībā ir divu veidu jaukts saturs. Jo bīstamāks ir “jaukts aktīvais saturs” vai “jaukts skripts”. Tas notiek, ja HTTPS vietne ielādē skripta failu HTTP. Skripta failā var palaist jebkuru kodu lapā, kuru tā vēlas, tāpēc skripta ielāde nedrošā savienojumā pilnīgi sagrauj pašreizējās lapas drošību. Web pārlūkprogrammas parasti bloķē šāda veida jauktu saturu.
Otrais veids ir “jaukts pasīvais saturs” vai “jaukts displeja saturs”. Tas notiek, ja HTTPS vietne HTTP savienojumā ielādē kaut ko līdzīgu attēlu vai audio failam. Šāda veida saturs nevar sagraut lapas drošību tādā pašā veidā, tāpēc tīmekļa pārlūkprogrammas nereaģē tik skarbi. Tomēr joprojām ir slikta drošības prakse, kas var radīt problēmas. Piemēram, uzbrucējs var aizstāt attēlu ar maldinošu attēlu, kā arī manipulēt ar teorētiski drošu lapu. Attēla ielādes pieprasījumā ir arī virsraksti, kas satur sīkdatnes informāciju, kas saistīta ar tīmekļa vietni, tāpēc pat attēlu ielāde nedrošā savienojumā var radīt problēmas. Tīmekļa pārlūkprogrammās bieži parādās brīdinājuma ikona vai ziņa, nevis bloķē saturu pilnībā, jo šāda veida jaukts saturs joprojām ir tik izplatīts reālajās tīmekļa vietnēs. Chrome pārlūkprogrammā redzēsiet slēdzeni ar dzeltenu trīsstūri.
Ko darīt, ja redzat jaukta satura brīdinājumu
Web pārlūkprogrammas parasti bloķē visbīstamākos jauktā satura veidus. Neatbloķējiet to. Ja jūs nevarat pieteikties tīmekļa vietnē vai ievadīt tiešsaistes maksājuma datus, neielādējot jaukto saturu, jums vienkārši jāatstāj tīmekļa vietne un neievada savu informāciju nedrošā tīmekļa vietnē. Ļaujiet tīmekļa vietņu īpašniekiem zināt, ka viņu vietne ir nedroša un bojāta.
Ja redzat brīdinājumu, ka lapā ir citi resursi, kas var nebūt droši, droši vien ir iespējams pieteikties. Tā nav laba zīme, ja vietne ir tikpat svarīga kā jūsu bankai, taču šāda veida jaukta satura brīdinājums ir ļoti izplatīts.
No otras puses, ja jaat piekļūstat tīmekļa vietnei, kurai nav nepieciešama HTTPS, jaukti satura brīdinājumi nav īsti daudz. Visi jaukta satura brīdinājuma līdzekļi ir tādi, ka tīmekļa vietne garantē labumu no HTTPS drošības - citiem vārdiem sakot, sliktākajā gadījumā tīmekļa vietne, kuru apmeklējat, ir tikpat nedroša kā standarta HTTP vietne. Tātad, ja jūs piekļūstat vietnei, piemēram, Vikipēdijai, tikai lai izlasītu dažus rakstus, un jūs redzējāt jaukta satura brīdinājumu, jums par to nav jārūpējas pārāk daudz. Sliktākajā gadījumā tas ir tikpat nedrošs kā tad, ja jūs izlasītu rakstus par Wikipedia, izmantojot standarta HTTP savienojumu, kas jums nekādā gadījumā nebūtu problemātisks.
Kāpēc dažām tīmekļa lapām ir šī problēma
Šo kļūdu redzēsit tikai tad, ja radīsies problēmas ar tīmekļa lapas kodēšanas veidu. Ja tīmekļa lapa tiek apkalpota pa HTTPS, tai jāizmanto arī HTTPS protokols, lai vilktu skriptu failus un citu nepieciešamo saturu. Tīmekļa izstrādātājiem ir jāpārbauda savas tīmekļa lapas, nodrošinot, ka lietotāju pārlūkprogrammās tie neizsauc biedējošu brīdinājumu. Ja esat lietotājs, jūs neko nevarat par to darīt - mājas lapas īpašniekam tas ir jānovērš.
Ja esat tīmekļa izstrādātājs, viss, kas jums jādara, ir nodrošināt, lai jūsu HTTPS lapas ielādētu saturu no HTTPS URL, nevis HTTP URL. Viens veids, kā to izdarīt, ir padarīt visu jūsu tīmekļa vietni tikai SSL, tāpēc viss tikai izmanto HTTPS.
Ja vēlaties izveidot lapu, kas var tikt apkalpota HTTP vai HTTPS režīmā, un to dara automātiski, varat izmantot “protokola relatīvos URL”, lai lietotāja pārlūks automātiski izvēlētos HTTP vai HTTPS, atkarībā no tā, kurš protokols lietotājam ir savienots ar. Piemēram, izskatās, piemēram, protokola relatīvais URL, lai ielādētu attēlu
Tīmekļa pārlūkprogrammas automātiski bloķē jauktu saturu vai jūsu aizsardzību, un tāpēc. Ja jums ir jāizmanto droša vietne, kas nedarbojas pareizi, ja vien neieslēdzat jauktu saturu, vietnes īpašniekam tas ir jālabo.