"Този сайт има несигурно съдържание" "Показва се само защитено съдържание" "Firefox е блокирал съдържание, което не е сигурно." Понякога ще срещнете тези предупреждения при сърфирането в мрежата, но какво точно означават?
Съществуват два типа смесено съдържание - едното е по-лошо от другото, но нито е добро. Смесеното предупреждение за съдържание показва, че нещо не е наред с посетената от вас уеб страница.
Всичко това се свежда до разликата между HTTP и HTTPS. HTTP е най-често използваният тип връзка - когато посещавате уеб сайт, използващ HTTP протокола, връзката ви с уебсайта не е защитена. Всеки, който подслушва трафика, може да види страницата, която преглеждате, и всички данни, които изпращате назад и напред.
Ето защо имаме HTTPS, което е буквално "HTTP Secure". HTTPS създава сигурна връзка между вас и уеб сървъра. Връзката е шифрована и удостоверена, така че никой не може да ви попречи на трафика и имате известна увереност, че сте свързани с правилния уебсайт. Това е изключително важно за осигуряването на пароли за профили и данни за онлайн плащания, което гарантира, че никой не може да ги подслушва.
Смесените предупреждения за съдържание показват проблем с уеб страница, до която осъществявате достъп през HTTPS. Връзката HTTPS трябва да е сигурна, но изходният код на уеб страницата привлича други ресурси с несигурен HTTP протокол, а не HTTPS. Адресната лента на вашия уеб браузър ще каже, че сте свързани с HTTPS, но страницата също зарежда ресурси с несигурен HTTP протокол във фонов режим. За да сте сигурни, че уеб страницата, която използвате, не е напълно защитена, браузърите показват предупреждение, че страницата има HTTPS и HTTP съдържание - смесено съдържание, с други думи.
Ето защо това всъщност е опасно. Да приемем, че сте на страница за плащане и сте на път да въведете номера на кредитната си карта. Платежната страница показва, че е шифрована връзка HTTPS, но виждате предупреждение със смесено съдържание. Това трябва да повдигне червен флаг. Възможно е въведените от вас данни за плащане да могат да бъдат заснети от несигурното съдържание и да бъдат изпратени по несигурна връзка, премахвайки ползата от защитата на HTTPS - някой може да подслушва и да вижда вашите чувствителни данни.
Тъй като HTTP не удостоверява автентичността на уеб сървъра по същия начин, по който работи HTTPS, възможно е също така защитен HTTPS сайт, който вкарва скрипт от HTTP сайт, да бъде измамен, за да изтегли скрипта на хакер и да го пусне на иначе сигурен сайт. Когато използвате HTTPS, имате повече уверения, че съдържанието не е било подправено и е легитимно.
И в двата случая това елиминира ползата от сигурна HTTPS връзка. Възможно е уебсайт да има предупреждение за несигурното съдържание и да запази вашите лични данни правилно, но ние наистина не знаем със сигурност и не трябва да поемаме риска - затова уеб браузърите ви предупреждават, когато срещнете сайт, който не е кодирани правилно.
Всъщност съществуват два типа смесено съдържание. Колкото по-опасен е "смесено активно съдържание" или "смесено скриптиране". Това се случва, когато даден сайт на HTTPS зарежда файл на скрипт през HTTP. Файлът на скрипта може да изпълни кода на страницата, която иска, така че зареждането на скрипт върху несигурна връзка напълно разрушава сигурността на текущата страница. Уеб браузърите обикновено блокират напълно този тип смесено съдържание.
Вторият тип е "смесено пасивно съдържание" или "смесено съдържание на дисплей". Това се случва, когато даден сайт на HTTPS зарежда нещо като изображение или аудио файл през HTTP връзка. Този тип съдържание не може да разруши сигурността на страницата по същия начин, така че уеб браузърите не реагират толкова строго. Това все пак е лоша практика за сигурност, която може да причини проблеми. Например, атакуващият може да замени изображението с подвеждащо изображение, нарушавайки теоретично сигурна страница. Заявката за зареждане на изображение съдържа и заглавки, които съдържат информация за "бисквитките", свързана с уебсайт, така че дори зареждането на изображение през несигурна връзка може да доведе до проблеми. Уеб браузърите често показват предупредителна икона или съобщение, вместо да блокират напълно съдържанието, тъй като този тип смесено съдържание все още е толкова често срещано на реални уеб сайтове. В Chrome ще видите катинар с жълт триъгълник.
Уеб браузърите по принцип блокират най-опасните типове смесено съдържание. Не го деблокирайте. Ако не можете да влезете в уебсайт или да въведете данни за плащане онлайн, без да зареждате смесеното съдържание, трябва само да напуснете уебсайта и да не въвеждате информацията си на несигурен уебсайт. Нека собствениците на уеб сайтове знаят, че сайтът им е несигурен и нарушен.
Ако видите предупреждение, че дадена страница съдържа други ресурси, които може да не са защитени, вероятно е безопасно да влезете във всеки случай. Това не е добър знак, ако уебсайлът е толкова важен, колкото банката ви има този проблем, но този тип предупреждение за смесено съдържание е много разпространено.
От друга страна, предупрежденията със смесено съдържание не са наистина голяма работа, ако имате достъп до уеб сайт, който не се нуждае от HTTPS. Всички предупреждения за смесено съдържание са, че уеб страница, гарантираща, че ще се възползва от защитата на HTTPS - с други думи, в най-лошия сценарий, посетената от вас уеб страница е несигурна като стандартен HTTP сайт. Така че, ако сте имали достъп до уеб сайт като Wikipedia, само за да прочетете някои статии и сте видели предупреждение за смесено съдържание, не би трябвало да се интересувате прекалено много. В най-лошия сценарий, това е също толкова несигурно, колкото че сте чели статии на Уикипедия чрез стандартна HTTP връзка, която все пак няма да имате проблем.
Ще видите тази грешка само ако има проблем с начина, по който е кодирана уеб страница. Ако се показва уеб страница чрез HTTPS, тя трябва също да използва протокола HTTPS, за да изтегли скриптови файлове и друго съдържание, което изисква. Уеб разработчиците трябва да тестват своите уеб страници, като гарантират, че те няма да предизвикат страховити предупреждения в браузърите на потребителите. Ако сте потребител, в действителност не можете да направите нищо за това - собственикът му трябва да го поправи.
Ако сте уеб програмист, всичко, което трябва да направите е да гарантирате, че вашите HTTPS страници зареждат съдържание от HTTPS URL адреси, а не HTTP URL адреси. Един от начините да направите това е, като правите целия си уебсайт да работи само чрез SSL, така че всичко просто използва HTTPS.
Ако искате да направите страница, която може да се показва през HTTP или HTTPS и правилното правилно, можете да използвате "относителни URL адреси на протокола", за да може браузърът на потребителя автоматично да избира HTTP или HTTPS, в зависимост от това кой протокол е потребителят свързано с. Например, би изглеждал протокол, който да има относителен адрес за зареждане на изображение Уеб браузърите автоматично блокират смесеното съдържание или защитата ви и затова. Ако трябва да използвате защитен уебсайт, който не работи правилно, освен ако не активирате смесено съдържание, собственикът на уебсайта трябва да го поправи.