Что такое предупреждение о смешанном контенте?

«Этот сайт содержит небезопасный контент», «отображается только защищенный контент»; «Firefox заблокировал небезопасный контент». Иногда вы будете сталкиваться с этими предупреждениями при просмотре веб-страниц, но что именно они означают?

Есть два типа смешанного контента - один хуже другого, но ни один не хорош. Предупреждения о смешанном содержании указывают на то, что с веб-страницей, которую вы посещаете, что-то не так.

Что такое смешанный контент?

Все это сводится к разнице между HTTP и HTTPS. HTTP является наиболее часто используемым типом соединения - когда вы посещаете веб-сайт по протоколу HTTP, ваше соединение с веб-сайтом не защищено. Любой, кто подслушивает трафик, может видеть страницу, которую вы просматриваете, и любые данные, которые вы отправляете туда и обратно..

Вот почему у нас есть HTTPS, который буквально «HTTP Secure». HTTPS создает безопасное соединение между вами и веб-сервером. Соединение зашифровано и аутентифицировано, поэтому никто не может отслеживать ваш трафик, и у вас есть уверенность, что вы подключены к нужному веб-сайту. Это чрезвычайно важно для защиты паролей учетных записей и данных онлайн-платежей, чтобы никто не мог подслушать их.

Предупреждения о смешанном контенте указывают на проблему с веб-страницей, к которой вы обращаетесь по HTTPS. Соединение HTTPS должно быть безопасным, но исходный код веб-страницы использует другие ресурсы по небезопасному протоколу HTTP, а не по HTTPS. В адресной строке вашего веб-браузера будет указано, что вы подключены к HTTPS, но страница также загружает ресурсы с небезопасным протоколом HTTP в фоновом режиме. Чтобы вы знали, что веб-страница, которую вы используете, не является полностью безопасной, браузеры отображают предупреждение о том, что страница содержит как HTTPS, так и HTTP-контент - смешанное, другими словами.

Почему это опасно

Вот почему это на самом деле опасно. Допустим, вы находитесь на странице оплаты и собираетесь ввести номер своей кредитной карты. На странице оплаты указано, что это зашифрованное соединение HTTPS, но вы видите предупреждение о смешанном контенте. Это должно поднять красный флаг. Вполне возможно, что введенные вами данные о платеже могут быть захвачены небезопасным контентом и отправлены по небезопасному соединению, что исключает преимущества безопасности HTTPS - кто-то может подслушивать и просматривать ваши конфиденциальные данные.

Поскольку HTTP не аутентифицирует веб-сервер так же, как HTTPS, возможно также, что безопасный HTTPS-сайт, извлекающий скрипт из HTTP-сайта, может быть обманным путем вытащил скрипт злоумышленника и запустил его на другом безопасном сайте. Когда используется HTTPS, у вас есть больше гарантий, что контент не был подделан и является законным.

В обоих случаях это устраняет преимущество наличия безопасного HTTPS-соединения. Вполне возможно, что веб-сайт может иметь предупреждение о небезопасном содержании и при этом обеспечивать безопасность ваших личных данных, но мы действительно не знаем наверняка и не должны рисковать - поэтому веб-браузеры предупреждают вас, когда вы сталкиваетесь с веб-сайтом, который не правильно закодировано.

Смешанное активное содержимое против смешанного пассивного содержимого

На самом деле есть два типа смешанного контента. Более опасным является «смешанный активный контент» или «смешанный сценарий». Это происходит, когда сайт HTTPS загружает файл сценария по HTTP. Файл сценария может запускать любой код на странице, которую он хочет, поэтому загрузка сценария по небезопасному соединению полностью нарушает безопасность текущей страницы. Веб-браузеры обычно полностью блокируют этот тип смешанного контента..

Второй тип - «смешанный пассивный контент» или «смешанный контент на дисплее». Это происходит, когда сайт HTTPS загружает что-то вроде изображения или аудиофайла по HTTP-соединению. Этот тип контента не может таким же образом нарушить безопасность страницы, поэтому веб-браузеры не реагируют так резко. Тем не менее, это все еще плохая практика безопасности, которая может вызвать проблемы. Например, злоумышленник может заменить изображение вводящим в заблуждение изображением, подделав теоретически защищенную страницу. Запрос на загрузку изображения также содержит заголовки, которые содержат информацию cookie, связанную с веб-сайтом, поэтому даже загрузка изображения по небезопасному соединению может вызвать проблемы. Веб-браузеры часто отображают значок предупреждения или сообщения, а не блокируют контент полностью, так как этот тип смешанного контента все еще так распространен на реальных веб-сайтах. В Chrome вы увидите замок с желтым треугольником.

Что делать, когда вы видите предупреждение о смешанном контенте

По умолчанию веб-браузеры блокируют наиболее опасные типы смешанного контента. Не разблокируйте это. Если вы не можете войти на веб-сайт или ввести данные платежа в Интернете без загрузки смешанного контента, вам следует просто покинуть веб-сайт и не вводить свою информацию на незащищенный веб-сайт. Пусть владельцы сайта знают, что их сайт небезопасен и сломан.

Если вы видите предупреждение о том, что страница содержит другие ресурсы, которые могут быть небезопасными, возможно, в любом случае безопасно войти в систему. Это плохой признак, если такая проблема важна для такого важного сайта, как ваш банк, но такое предупреждение о смешанном контенте встречается очень часто..

С другой стороны, предупреждения о смешанном контенте не имеют большого значения, если вы заходите на веб-сайт, который не требует HTTPS. Все предупреждения о смешанном контенте означают, что веб-страница гарантированно получает выгоду от безопасности HTTPS - другими словами, в худшем случае веб-страница, которую вы посещаете, так же небезопасна, как и стандартный HTTP-сайт. Итак, если вы заходили на такой сайт, как Википедия, просто для того, чтобы прочитать несколько статей, и вы увидели предупреждение о смешанном контенте, вам не нужно беспокоиться об этом. В худшем случае это так же небезопасно, как если бы вы читали статьи в Википедии через стандартное HTTP-соединение, и у вас все равно не возникло бы никаких проблем..

Почему некоторые веб-страницы имеют эту проблему

Вы увидите эту ошибку, только если есть проблема с тем, как кодируется веб-страница. Если веб-страница обслуживается по HTTPS, она также должна использовать протокол HTTPS для извлечения файлов сценариев и другого необходимого контента. Веб-разработчики должны протестировать свои веб-страницы, убедившись, что они не вызывают страшных предупреждений в браузерах пользователей. Если вы пользователь, вы ничего не можете с этим поделать - это зависит от владельца сайта..

Если вы веб-разработчик, все, что вам нужно сделать, это убедиться, что ваши HTTPS-страницы загружают контент с HTTPS-URL, а не HTTP-URL. Один из способов сделать это - заставить весь ваш сайт работать только по SSL, так что все использует HTTPS..

Если вы хотите создать страницу, которая может обслуживаться по протоколу HTTP или HTTPS и которая выполняет правильные действия автоматически, вы можете использовать «протокол относительных URL», чтобы браузер пользователя автоматически выбирал HTTP или HTTPS в зависимости от того, каким протоколом пользуется пользователь. связана с. Например, относительный URL протокола для загрузки изображения будет выглядеть