Domovská » jak » Co je to výstraha smíšeného obsahu?

    Co je to výstraha smíšeného obsahu?

    "Tato stránka obsahuje nejistý obsah" "zobrazí se pouze zabezpečený obsah;" "Firefox zablokoval obsah, který není bezpečný." Příležitostně narazíte na tato upozornění při procházení webu, ale co přesně to znamená?

    Existují dva typy smíšeného obsahu - jeden je horší než druhý, ale ani jeden není dobrý. Upozornění na smíšené obsahy naznačují, že s webovou stránkou, kterou navštěvujete, je něco špatně.

    Co je smíšený obsah?

    To vše se shoduje s rozdílem mezi HTTP a HTTPS. HTTP je nejčastěji používaný typ připojení - při návštěvě webových stránek pomocí protokolu HTTP není připojení k webu zabezpečeno. Každý, kdo odposlouchává návštěvnost, může vidět stránku, kterou prohlížíte, a všechna data, která odesíláte sem a tam.

    To je důvod, proč máme HTTPS, což je doslova "HTTP Secure." HTTPS vytváří zabezpečené spojení mezi vámi a webovým serverem. Spojení je šifrováno a ověřeno, takže nikdo nemůže sledovat vaši návštěvnost a máte jistotu, že jste připojeni k správnému webu. To je nesmírně důležité pro zabezpečení hesel účtu a platebních údajů online, takže nikdo je nemůže odposlouchávat.

    Smíšená upozornění na obsah upozorňují na problém s webovou stránkou, na kterou přistupujete přes protokol HTTPS. Připojení HTTPS by mělo být zabezpečené, ale zdrojový kód webové stránky přitahuje jiné zdroje s nejistým HTTP protokolem, nikoliv HTTPS. Adresní pruh vašeho webového prohlížeče bude říkat, že jste připojeni k HTTPS, ale stránka načítá na pozadí zdroje s nejistým protokolem HTTP. Abyste se ujistili, že webová stránka, kterou používáte, není zcela bezpečná, prohlížeče zobrazí varování, že stránka má obsah HTTPS a HTTP - smíšený obsah, jinými slovy.

    Proč je to nebezpečné

    Zde je důvod, proč je to skutečně nebezpečné. Řekněme, že jste na platební stránce a chystáte se zadat číslo kreditní karty. Na stránce plateb se uvádí, že je to šifrované připojení HTTPS, ale vidíte varování o smíšené podobě. To by mělo zvýšit červenou vlajku. Je možné, že údaje o platbě, které zadáte, mohly být zachyceny nezabezpečeným obsahem a posílány přes nejisté připojení, čímž se odstraní výhoda zabezpečení HTTPS - někdo by mohl odposlouchávat a zobrazit vaše citlivá data.

    Vzhledem k tomu, že protokol HTTP neověřuje webový server stejným způsobem jako HTTPS, je také možné, že bezpečný web HTTPS, který vkládá skript z webu HTTP, by mohl být podveden, aby vytáhl skript útočníka a spustil jej na jinak bezpečném místě. Pokud používáte HTTPS, máte více ujištění, že obsah nebyl ovlivněn a je legitimní.

    V obou případech to eliminuje výhodu bezpečného připojení HTTPS. Je možné, že webová stránka by mohla obsahovat varování týkající se nejasného obsahu a vaše osobní údaje stále bezpečně chránit, ale opravdu nevíme jistě a neměli bychom riskovat - proto vás webové prohlížeče varují, když narazíte na webové stránky, které nejsou kódován správně.

    Smíšený aktivní obsah vs. smíšený pasivní obsah

    Ve skutečnosti existují dva typy smíšeného obsahu. Čím nebezpečnější je "smíšený aktivní obsah" nebo "smíšené skriptování". K tomu dochází, když stránka HTTPS načte soubor skriptu přes protokol HTTP. Soubor skriptu může spustit libovolný kód na stránce, kterou chce, takže načtení skriptu přes nejisté připojení zcela zničí zabezpečení aktuální stránky. Webové prohlížeče obecně blokují tento typ smíšeného obsahu zcela.

    Druhý typ je "smíšený pasivní obsah" nebo "smíšený obsah zobrazení". K tomu dochází, když na serveru HTTPS načte přes HTTP spojení něco jako obrázek nebo zvuk. Tento typ obsahu nemůže zničit zabezpečení stránky stejným způsobem, takže webové prohlížeče nereagují tak ostře. Je to však stále špatná bezpečnostní praxe, která by mohla způsobit problémy. Například útočník by mohl nahradit obrázek zavádějícím obrazem, který by mohl manipulovat s teoreticky bezpečnou stránkou. Požadavek na načtení obrázku také obsahuje záhlaví, které obsahují informace o souborech souvisejících s webovými stránkami, takže dokonce i načtení obrázku přes nejisté připojení může způsobit problémy. Webové prohlížeče často zobrazují varovnou ikonu nebo zprávu spíše než úplné zablokování obsahu, neboť tento typ smíšeného obsahu je stále běžný na skutečných webových stránkách. V prohlížeči Chrome se zobrazí visací zámek se žlutým trojúhelníkem.

    Co dělat, když vidíte upozornění na smíšený obsah

    Webové prohlížeče většinou blokují nejnebezpečnější typy smíšeného obsahu ve výchozím nastavení. Neblokujte jej. Pokud se nemůžete přihlásit na webové stránky nebo zadat údaje o platbách online, aniž byste museli načítat smíšený obsah, měli byste prostě opustit web a nezadávat informace na nezabezpečenou webovou stránku. Majitelé webových stránek vědí, že jejich stránky jsou nezabezpečené a poškozené.

    Pokud uvidíte varování, že stránka obsahuje další zdroje, které nemusí být zabezpečené, je pravděpodobně bezpečné přihlášení stejně. Není to dobré znamení, pokud má takový důležitý web jako banka tento problém, ale tento typ varování smíšeného obsahu je velmi běžné.

    Na druhou stranu, upozornění na smíšené obsahy nejsou opravdu velkým problémem, pokud přistupujete na webové stránky, které nepotřebují protokol HTTPS. Všechna upozornění týkající se smíšeného obsahu znamená, že webová stránka zaručuje, že bude mít prospěch z zabezpečení protokolu HTTPS - jinými slovy v nejhorším scénáři je navštívená webová stránka nejistá jako standardní web HTTP. Takže pokud jste měli přístup na webové stránky, jako je Wikipedia, jen abyste si přečetli nějaké články a viděli jste varování o smíšené náplni, nemusíte se o to moc starat. V nejhorším scénáři je to stejně nejisté, jako kdybyste četli články na Wikipedii přes standardní HTTP spojení, které byste stejně neměli žádný problém.

    Proč některé webové stránky mají tento problém

    Tato chyba se zobrazí pouze v případě, že se vyskytne problém s kódováním webové stránky. Pokud se přes HTTPS zobrazuje webová stránka, měla by také použít protokol HTTPS pro stahování souborů skriptů a dalšího obsahu, který vyžaduje. Weboví vývojáři by měli otestovat své webové stránky a zajistit, aby v prohlížečích uživatelů nevyvolávali strašidelné varování. Pokud jste uživatel, nemůžete s tím nic opravdu udělat - je to na vlastníkovi webu, aby to opravil.

    Pokud jste vývojář webu, stačí zajistit, aby stránky HTTPS načítaly obsah z adres URL HTTPS, nikoliv z HTTP adres URL. Jedním ze způsobů, jak to udělat, je, aby vaše webové stránky fungovaly pouze přes protokol SSL, takže vše pouhým používá protokol HTTPS.

    Pokud chcete vytvořit stránku, kterou lze zobrazit přes protokol HTTP nebo HTTPS a provedete správnou funkci, můžete použít "adresy relativních adres URL" tak, aby uživatelský prohlížeč automaticky zvolil HTTP nebo HTTPS podle toho, který protokol má uživatel spojeno s. Může například vypadat relativní adresa protokolu pro načtení obrázku


    Webové prohlížeče automaticky blokují smíšený obsah nebo vaši ochranu, a to je důvod, proč. Pokud potřebujete používat zabezpečené webové stránky, které nefungují správně, pokud povolíte smíšený obsah, měl by majitel webu opravit.