Pagina principala » HOWTO » Ce anume este un avertisment privind conținutul mixt?

    Ce anume este un avertisment privind conținutul mixt?

    "Acest site are conținut nesigur"; "se afișează numai conținutul securizat;" "Firefox a blocat conținut care nu este securizat." Veți întâlni ocazional aceste avertismente în timp ce navigați pe web, dar ce anume înseamnă?

    Există două tipuri de conținut mixt - unul este mai rău decât celălalt, dar nici unul nu este bun. Avertismentele cu conținut mixt indică faptul că ceva nu este în regulă cu o pagină web pe care o vizitați.

    Ce este un conținut mixt?

    Toate acestea se referă la diferența dintre HTTP și HTTPS. HTTP este cel mai frecvent utilizat tip de conexiune - atunci când vizitați un site Web utilizând protocolul HTTP, conexiunea dvs. la site nu este securizată. Oricine ascultă pe trafic poate vedea pagina pe care o vedeți și orice date pe care le trimiteți înainte și înapoi.

    De aceea avem HTTPS, care este literalmente "HTTP Secure". HTTPS creează o conexiune sigură între dvs. și serverul web. Conexiunea este criptată și autentificată, astfel încât nimeni nu poate să vă spună traficul și aveți anumite asigurări că sunteți conectat la site-ul corect. Acest lucru este extrem de important pentru securizarea parolelor de cont și a datelor de plată online, asigurându-se că nimeni nu le poate asculta.

    Avertismentele cu conținut mixt indică o problemă cu o pagină web pe care o accesați prin HTTPS. Conexiunea HTTPS ar trebui să fie sigură, dar codul sursă al paginii web trage alte resurse cu protocolul HTTP nesigur, și nu cu HTTPS. Bara de adrese a browserului dvs. web va spune că sunteți conectat (ă) la HTTPS, însă pagina încarcă și resursele cu protocolul HTTP nesigur în fundal. Pentru a vă asigura că pagina web pe care o utilizați nu este complet sigură, browserele afișează un avertisment care spune că pagina conține atât conținut HTTPS cât și HTTP - conținut mixt, cu alte cuvinte.

    De ce este periculos

    Iată de ce acest lucru este periculos. Să presupunem că vă aflați pe o pagină de plată și că sunteți pe punctul de a introduce numărul cardului dvs. de credit. Pagina de plată indică o conexiune HTTPS criptată, dar vedeți un avertisment privind conținutul mixt. Acest lucru ar trebui să ridice un steag roșu. Este posibil ca detaliile de plată pe care le introduceți să poată fi capturate de conținutul nesigur și să fie trimise printr-o conexiune nesigură, eliminând beneficiul securității HTTPS - cineva ar putea să asculte și să vă vadă datele dvs. sensibile.

    Deoarece HTTP nu autentifică serverul web în același mod pe care îl face HTTPS, este posibil ca un site HTTPS securizat să tragă un script dintr-un site HTTP să fie înșelat să tragă scriptul unui atacator și să îl ruleze pe site-ul altfel sigur. Atunci când se utilizează HTTPS, aveți mai multe asigurări că conținutul nu a fost modificat și este legitim.

    În ambele cazuri, acest lucru elimină beneficiul unei conexiuni securizate HTTPS. Este posibil ca un site web să aibă un avertisment privind conținutul nesigur și să vă securizeze în mod adecvat datele dvs. personale, dar într-adevăr nu știm sigur și nu trebuie să-și asume riscul - de aceea browserele web vă avertizează atunci când întâlniți un site web care nu este codat corect.

    Conținut activ mixt vs. conținut pasiv mixt

    Există de fapt două tipuri de conținut mixt. Cea mai periculoasă este "conținut mixt activ" sau "scripting mixt". Acest lucru se întâmplă atunci când un site HTTPS încarcă un fișier de script peste HTTP. Fișierul script poate rula orice cod pe pagina pe care o dorește, astfel că încărcarea unui script pe o conexiune nesigură ruină complet securitatea paginii curente. Browserele web blochează în general acest tip de conținut mixt.

    Cel de-al doilea tip este "conținut pasiv mixt" sau "conținut de afișare mixt". Acest lucru se întâmplă atunci când un site HTTPS încarcă ceva asemănător unei imagini sau unui fișier audio printr-o conexiune HTTP. Acest tip de conținut nu poate să distrugă securitatea paginii în același mod, astfel încât browserele web să nu reacționeze la fel de aspru. Cu toate acestea, este încă o practică de securitate care ar putea provoca probleme. De exemplu, un atacator ar putea înlocui imaginea cu o imagine înșelătoare, manipulând o pagină teoretic sigură. O solicitare de încărcare a imaginii conține, de asemenea, anteturi care conțin informații despre cookie asociate unui site Web, astfel încât încărcarea chiar și a unei imagini printr-o conexiune nesigură poate cauza probleme. Navigatoarele web afișează adesea o pictogramă sau un mesaj de avertizare, în loc să blocheze complet conținutul, deoarece acest tip de conținut mixt este încă atât de comun pe site-urile web reale. În Chrome, veți vedea un lacăt cu un triunghi galben.

    Ce trebuie să faceți când vedeți un avertisment privind conținutul mixt

    În general, browserele web blochează în mod implicit cele mai periculoase tipuri de conținut mixt. Nu-l deblocați. Dacă nu vă puteți conecta la un site web sau nu puteți introduce detaliile de plată online fără a încărca conținutul mixt, trebuie doar să părăsiți site-ul web și să nu introduceți informațiile dvs. pe un site web nesigur. Lăsați proprietarii site-ului știu site-ul lor este nesigur și rupt.

    Dacă vedeți un avertisment că o pagină conține alte resurse care nu sunt sigure, este probabil sigur să vă conectați oricum. Nu este un semn bun dacă un site web la fel de important ca banca dvs. are această problemă, dar acest tip de avertisment de conținut mixt este foarte comună.

    Pe de altă parte, avertismentele privind conținutul mixt nu sunt într-adevăr o afacere mare dacă accesați un site web care nu are nevoie de HTTPS. Tot ceea ce înseamnă un avertisment privind conținutul mixt este că o pagină web garantată să beneficieze de securitatea HTTPS - cu alte cuvinte, în cel mai rău scenariu, pagina web pe care o vizitați este la fel de nesigură ca un site HTTP standard. Deci, dacă ați accesa un site ca Wikipedia doar pentru a citi câteva articole și ați văzut un avertisment de conținut mixt, nu ar trebui să vă pese prea mult. În cel mai rău scenariu, este la fel de nesigur ca și cum ați fi citit articole pe Wikipedia printr-o conexiune HTTP standard, pe care totuși nu ai nici o problemă.

    De ce unele pagini web au această problemă

    Veți vedea această eroare numai dacă există o problemă cu modul în care este codată o pagină web. Dacă o pagină Web este difuzată pe HTTPS, ar trebui să utilizeze, de asemenea, protocolul HTTPS pentru a trage în fișierele de script și în alt conținut necesar. Dezvoltatorii web ar trebui să testeze paginile lor web, asigurându-se că nu declanșează avertismente înfricoșătoare în browserele utilizatorilor. Dacă sunteți utilizator, nu puteți face nimic cu adevărat - depinde de proprietarul site-ului să o remedieze.

    Dacă sunteți un dezvoltator web, tot ce trebuie să faceți este să vă asigurați că paginile dvs. HTTPS încarcă conținut din adresele URL HTTPS, și nu din URL-uri HTTP. O modalitate de a face acest lucru este de a face întregul dvs. site Web să funcționeze numai prin SSL, deci totul utilizează doar HTTPS.

    Dacă doriți să creați o pagină care să poată fi difuzată prin HTTP sau HTTPS și să procedeze corect, puteți utiliza "URL-uri relative de protocol" pentru ca browser-ul utilizatorului să aleagă automat HTTP sau HTTPS, după caz, în funcție de protocolul pe care îl utilizează utilizatorul conectat cu. De exemplu, ar arăta o adresă URL relativă pentru a încărca o imagine


    Browserele web blochează în mod automat conținutul mixt sau protecția dvs. și de aceea. Dacă aveți nevoie să utilizați un site securizat care nu funcționează corect decât dacă activați conținut mixt, proprietarul site-ului ar trebui să îl remedieze.