Mikä on varsinainen sekasisältö?
”Tällä sivustolla on epävarmaa sisältöä”, ”vain suojattu sisältö näytetään;” ”Firefox on estänyt sisällön, joka ei ole turvallinen.” Saatat joskus törmätä näihin varoituksiin Web-selaamisen aikana, mutta mitä tarkalleen he tarkoittavat?
On olemassa kahdenlaisia sekasisältöjä - yksi on huonompi kuin toinen, mutta kumpikaan ei ole hyvä. Sekalaisen sisällön varoitukset viittaavat siihen, että jotakin on väärässä verkkosivulla, johon vierailet.
Mikä on sekasisältö?
Kaikki tämä tulee eroamaan HTTP: n ja HTTPS: n välillä. HTTP on yleisimmin käytetty yhteystyyppi - kun käyt verkkosivustossa, jossa käytetään HTTP-protokollaa, yhteys sivustoosi ei ole turvattu. Kuka tahansa, joka kuuntelee liikennettä, näkee katseltavasi sivun ja kaikki tiedot, joita lähetät edestakaisin.
Siksi meillä on HTTPS, joka on kirjaimellisesti "HTTP Secure". HTTPS luo turvallisen yhteyden sinun ja Web-palvelimen välille. Yhteys on salattu ja todennettu, joten kukaan ei voi tarttua liikenteeseesi, ja sinulla on varmuus siitä, että olet yhteydessä oikeaan verkkosivustoon. Tämä on äärimmäisen tärkeää tilien salasanojen ja online-maksutietojen turvaamiseksi, jotta kukaan ei voi kuunnella niitä.
Sekalaisen sisällön varoitukset viittaavat ongelmaan verkkosivulla, johon pääset HTTPS-yhteyden kautta. HTTPS-yhteyden pitäisi olla turvallinen, mutta verkkosivun lähdekoodi vetää muita resursseja epävarmalla HTTP-protokollalla, ei HTTPS: llä. Web-selaimesi osoiterivillä on yhteys HTTPS-järjestelmään, mutta sivulla ladataan myös resursseja epävarmalla HTTP-protokollalla taustalla. Varmistaaksesi, että tiedät, että käyttämäsi verkkosivu ei ole täysin turvallinen, selaimet näyttävät varoituksen, jossa sanotaan, että sivulla on sekä HTTPS- että HTTP-sisältö - sekasisältö, toisin sanoen.
Miksi tämä on vaarallista
Siksi tämä on todella vaarallista. Oletetaan, että olet maksusivulla ja annat luottokorttisi numeron. Maksusivu osoittaa, että se on salattu HTTPS-yhteys, mutta näet sekasisällön varoituksen. Tämän pitäisi nostaa punainen lippu. On mahdollista, että syöttämäsi maksutiedot voidaan tallentaa epävarmalla sisällöllä ja lähettää turvattoman yhteyden kautta ja poistaa HTTPS-tietoturvan hyödyn - joku voisi kuunnella ja nähdä arkaluonteisia tietojasi.
Koska HTTP ei tunnista verkkopalvelinta samalla tavalla kuin HTTPS, on myös mahdollista, että suojattu HTTPS-sivusto, joka vetää komentosarjan HTTP-sivustosta, voidaan huijata hyökkääjän käsikirjoituksen vetämiseen ja muulla suojatulla sivustolla. Kun HTTPS-protokollaa käytetään, sinulla on enemmän takeita siitä, että sisältöä ei ole muokattu ja että se on oikeutettu.
Molemmissa tapauksissa tämä poistaa turvallisen HTTPS-yhteyden hyödyn. On mahdollista, että verkkosivustolla voi olla epävarma sisältövaroitus ja suojata henkilökohtaisia tietojasi kunnolla, mutta emme todellakaan tiedä varmasti, eikä meidän pitäisi ottaa riskiä - siksi selaimet varoittavat sinua, kun törmäät sivustoon, joka ei ole koodattu oikein.
Sekoitettu aktiivinen sisältö vs. seka-passiivinen sisältö
Itse asiassa on olemassa kahdenlaisia sekasisältöjä. Vaarallisempi on ”sekoitus aktiivinen sisältö” tai ”sekoitettu komentosarja”. Tämä tapahtuu, kun HTTPS-sivusto lataa skriptitiedoston HTTP: n kautta. Skriptitiedosto voi suorittaa minkä tahansa koodin haluamastaan sivusta, joten komentosarjan lataaminen epävarmaan yhteyteen pilaa täysin nykyisen sivun suojauksen. Web-selaimet estävät yleensä tämäntyyppisen sekoitetun sisällön kokonaan.
Toinen tyyppi on ”sekoitettu passiivinen sisältö” tai ”sekoitettu näytön sisältö”. Tämä tapahtuu, kun HTTPS-sivusto lataa jotain kuvan tai äänitiedoston kaltaista HTTP-yhteyden kautta. Tämäntyyppinen sisältö ei voi pilata sivun tietoturvaa samalla tavalla, joten web-selaimet eivät reagoi niin ankaria. On kuitenkin edelleen huono turvallisuuskäytäntö, joka voi aiheuttaa ongelmia. Hyökkääjä voi esimerkiksi korvata kuvan harhaanjohtavalla kuvalla, muokkaamalla teoreettisesti suojattua sivua. Kuvan latauspyyntö sisältää myös otsikot, jotka sisältävät verkkosivustoon liittyvää evästetietoa, joten kuvan lataaminen jopa epävarmaan yhteyteen voi aiheuttaa ongelmia. Web-selaimet näyttävät usein varoituskuvakkeen tai viestin sen sijaan, että se estäisi sisällön kokonaan, koska tällainen sekasisältö on edelleen yleistä todellisilla verkkosivuilla. Chromessa näet riippulukon, jossa on keltainen kolmio.
Mitä tehdä, kun näet sekoitetun sisällön varoituksen
Web-selaimet estävät yleensä vaarallisimmat sekalaisen sisällön tyypit oletusarvoisesti. Älä avaa sitä. Jos et voi kirjautua Web-sivustoon tai syöttää online-maksutietoja lataamatta sekasisältöä, sinun kannattaa vain jättää verkkosivusto eikä anna tietojasi suojaamattomalle sivustolle. Anna sivustojen omistajien tietää, että sivusto on epävarma ja rikki.
Jos näet varoituksen, että sivu sisältää muita resursseja, jotka eivät välttämättä ole turvallisia, kirjautuminen on todennäköisesti turvallista. Se ei ole hyvä merkki, jos sivusto on niin tärkeä kuin pankkisi ongelma, mutta tällainen sekasisältövaroitus on hyvin yleinen.
Toisaalta sekoitetun sisällön varoitukset eivät ole oikeastaan suuria asioita, jos käytät verkkosivustoa, jossa ei tarvita HTTPS: ää. Kaikki sekasisällön varoitus tarkoittaa, että verkkosivu, jolla taataan HTTPS-tietoturva - toisin sanoen pahimmassa tapauksessa sivusto, jonka vierailet, on yhtä epävarma kuin tavallinen HTTP-sivusto. Joten, jos käytit Wikipedian kaltaista verkkosivustoa vain lukemaan joitakin artikkeleita ja näet sekoitetun sisällön varoituksen, sinun ei tarvitse huolehtia siitä liikaa. Pahimmassa tapauksessa se on aivan yhtä epävarma kuin olisit lukenut artikkeleita Wikipediasta tavallisella HTTP-yhteydellä, jota sinulla ei olisi ongelmana..
Miksi joillakin verkkosivuilla on tämä ongelma
Näet tämän virheen vain, jos web-sivun koodausongelma on ongelma. Jos Web-sivu palvelee HTTPS: n kautta, sen pitäisi myös käyttää HTTPS-protokollaa skriptitiedostojen ja muun tarvitsemansa sisällön vetämiseen. Web-kehittäjien tulisi testata verkkosivujaan varmistaen, että ne eivät laukaise pelottavia varoituksia käyttäjien selaimissa. Jos olet käyttäjä, et voi tehdä mitään tästä - sivuston omistajan on korjattava se.
Jos olet web-kehittäjä, sinun tarvitsee vain varmistaa, että HTTPS-sivusi lataavat sisältöä HTTPS-URL-osoitteista, ei HTTP-URL-osoitteista. Yksi tapa tehdä tämä on tehdä koko sivusto vain SSL: n kautta, joten kaikki käyttää vain HTTPS: ää.
Jos haluat tehdä sivun, jota voidaan palvella HTTP: n tai HTTPS: n välityksellä ja tehdä oikein, voit käyttää "protokollasuhteisia URL-osoitteita", jos haluat, että käyttäjän selain valitsee automaattisesti HTTP: n tai HTTPS: n, riippuen siitä, mikä protokolla käyttäjä on yhteydessä. Esimerkiksi protokollan suhteellinen URL kuvan lataamiseksi näyttää
Web-selaimet estävät automaattisesti sekasisällön tai suojan, ja siksi. Jos sinun on käytettävä suojattua sivustoa, joka ei toimi kunnolla, ellet ota käyttöön sekasisältöä, sivuston omistajan pitäisi korjata se.