Existujú dva typy zmiešaného obsahu - jeden je horší než druhý, ale ani jeden nie je dobrý. Upozornenia so zmiešaným obsahom naznačujú, že niečo nie je v poriadku s webovou stránkou, ktorú navštevujete.
Čo je zmiešaný obsah?
To všetko sa týka rozdielu medzi HTTP a HTTPS. HTTP je najčastejšie používaný typ pripojenia - keď navštívite webovú lokalitu pomocou protokolu HTTP, vaše pripojenie k webovej lokalite nie je zabezpečené. Každý, kto odpočúva na návštevnosti, môže vidieť stránku, ktorú prezeráte, a všetky údaje, ktoré odosielate sem a tam.
Preto máme HTTPS, čo je doslova "HTTP Secure." HTTPS vytvára zabezpečené spojenie medzi vami a webovým serverom. Pripojenie je zašifrované a overené, takže nikto nemôže svedčiť o vašej prevádzke a máte istotu, že ste pripojení na správny web. Je to mimoriadne dôležité pre zabezpečenie hesiel na účtoch a údajov o platbách online, čím sa zabezpečí, aby ich nikto neposlúchol.
Upozornenia so zmiešaným obsahom poukazujú na problém s webovou stránkou, na ktorú pristupujete cez protokol HTTPS. Pripojenie HTTPS by malo byť zabezpečené, ale zdrojový kód webovej stránky zaťahuje iné zdroje s neistým HTTP protokolom, nie HTTPS. Panel s adresou vášho webového prehliadača hovorí, že ste pripojení k HTTPS, ale stránka načíta aj zdroje s neistým protokolom HTTP na pozadí. Aby ste vedeli, že webová stránka, ktorú používate, nie je úplne bezpečná, prehliadače zobrazujú upozornenie, že stránka má obsah HTTPS a HTTP - zmiešaný obsah, inými slovami.
Prečo je to nebezpečné
Tu je dôvod, prečo je to skutočne nebezpečné. Povedzme, že ste na platobnej stránke a chystáte sa zadať číslo svojej kreditnej karty. Stránka s platbami naznačuje, že ide o šifrované pripojenie HTTPS, ale vidíte varovanie o zmiešanom obsahu. To by malo zvýšiť červenú vlajku. Je možné, že údaje o platbe, ktoré zadáte, mohli byť zachytené nezabezpečeným obsahom a odosielané cez neisté pripojenie, čím sa vylúči výhoda zabezpečenia HTTPS - niekto by mohol odposlali a zobraziť vaše citlivé údaje.
Pretože protokol HTTP neoveruje webový server rovnakým spôsobom ako HTTPS, je tiež možné, že zabezpečený web HTTPS sťahujúci skript z lokality HTTP môže byť podvedený tak, že vytiahne skript útočníka a spustí ho na inak bezpečnom mieste. Keď sa používa protokol HTTPS, máte viac uistenia, že obsah nebol ovplyvnený a je legitímny.
V obidvoch prípadoch to eliminuje výhody zabezpečeného pripojenia HTTPS. Je možné, že webové stránky môžu mať neisté obsahové upozornenie a stále zabezpečujú vaše osobné údaje správne, ale naozaj nevieme a nemali by sme riskovať - preto vás webové prehliadače varujú, keď narazíte na webové stránky, ktoré nie sú správne kódované.
Zmiešaný aktívny obsah a zmiešaný pasívny obsah
Existujú v skutočnosti dva typy zmiešaného obsahu. Čím nebezpečnejšia je "zmiešaný aktívny obsah" alebo "zmiešané skriptovanie". K tomu dochádza, keď web HTTPS načíta súbor skriptu cez protokol HTTP. Súbor skriptu môže spustiť ľubovoľný kód na stránke, ktorú chce, takže načítanie skriptu cez neisté pripojenie úplne zničí bezpečnosť aktuálnej stránky. Webové prehliadače úplne blokujú tento typ zmiešaného obsahu.
Druhý typ je "zmiešaný pasívny obsah" alebo "zmiešaný obsah zobrazenia". To sa vyskytuje, keď sa na HTTPS pripojenie na web HTTPS načíta niečo ako obrázok alebo zvuk. Tento typ obsahu nemôže narušiť bezpečnosť stránky rovnakým spôsobom, takže webové prehliadače nereagujú tak tvrdo. Je to však stále zlá bezpečnostná prax, ktorá by mohla spôsobiť problémy. Napríklad útočník by mohol nahradiť obraz zavádzajúcim obrazom, ktorý by mohol manipulovať s teoreticky bezpečnou stránkou. Požiadavka na načítanie obrázka obsahuje aj hlavičky, ktoré obsahujú informácie o súboroch cookie priradené k webovým stránkam, takže aj načítanie obrázka cez neisté pripojenie môže spôsobiť problémy. Webové prehliadače často zobrazujú ikonu alebo správu varovania, nie úplne zablokovanie obsahu, pretože tento typ zmiešaného obsahu je stále taký bežný na skutočných webových stránkach. V prehliadači Chrome sa zobrazí visiaci zámok so žltým trojuholníkom.
Čo robiť, keď vidíte upozornenie na zmiešaný obsah
Webové prehliadače vo všeobecnosti blokujú najnebezpečnejšie typy zmiešaného obsahu. Neodblokujte ho. Ak sa nemôžete prihlásiť na webové stránky alebo zadať podrobnosti o platbe online bez načítania zmiešaného obsahu, mali by ste jednoducho opustiť webové stránky a nezadávať svoje informácie na nezabezpečenú webovú stránku. Umožnite vlastníkom webových stránok vedieť, že ich stránka je nezabezpečená a porušená.
Ak sa zobrazí upozornenie, že stránka obsahuje iné zdroje, ktoré nemusia byť zabezpečené, je pravdepodobne bezpečné prihlásiť sa. Nie je to dobré znamenie, ak má webový server taký dôležitý ako vaša banka tento problém, ale tento typ varovania zmiešaného obsahu je veľmi častý.
Na druhej strane varovanie o zmiešanom obsahu nie sú naozaj veľké, ak pristupujete na webové stránky, ktoré nepotrebujú protokol HTTPS.Všetky upozornenia týkajúce sa zmiešaného obsahu spočívajú v tom, že webová stránka garantuje, že využíva bezpečnosť protokolu HTTPS - inými slovami, v najhoršom prípade je webová stránka, ktorú navštevujete, neistá ako štandardná stránka HTTP. Takže, ak ste pristupovali na webové stránky ako Wikipedia, len aby ste si prečítali niektoré články a videli ste varovanie o zmiešanom obsahu, nemusíte sa o to moc starať. V najhoršom scenári je to rovnako neisté, ako keby ste čítali články na Wikipédii cez štandardné HTTP spojenie, ktoré by ste aj tak nemali robiť.
Prečo niektoré webové stránky majú tento problém
Túto chybu uvidíte iba vtedy, ak sa vyskytne problém s kódovaním webovej stránky. Ak sa cez HTTPS zobrazuje webová stránka, mala by tiež použiť protokol HTTPS na vytiahnutie súborov skriptov a ďalšieho obsahu, ktorý vyžaduje. Weboví vývojári by mali otestovať svoje webové stránky a zabezpečiť, aby v prehliadačoch používateľov nevyvolávali strašidelné upozornenia. Ak ste používateľ, nemôžete naozaj nič urobiť - je to na majiteľovi webových stránok, aby ste to vyriešili.
Ak ste webový vývojár, stačí, aby vaše stránky HTTPS načítavali obsah z webových adries HTTPS, a nie z adries HTTP. Jedným zo spôsobov, ako to urobiť, je tým, že celé vaše webové stránky pracujú iba cez protokol SSL, takže všetko používa protokol HTTPS.
Ak chcete vytvoriť stránku, ktorá sa môže zobrazovať cez protokol HTTP alebo HTTPS a robí správne to správne, môžete použiť "protokolové relatívne adresy URL", aby používateľský prehliadač automaticky vybral protokol HTTP alebo HTTPS podľa toho, ktorý protokol je používateľom spojený s. Napríklad by mala vyzerať relatívna adresa URL na načítanie obrázka
Webové prehliadače automaticky blokujú zmiešaný obsah alebo vašu ochranu, a to je dôvod, prečo. Ak potrebujete používať zabezpečené webové stránky, ktoré nefungujú správne, ak povolíte zmiešaný obsah, majiteľ webovej lokality by mal opraviť.
