Mis täpselt on segatud sisu hoiatus?
"Sellel saidil on ebaturvaline sisu;" kuvatakse ainult turvaline sisu; "Firefox on blokeerinud sisu, mis ei ole turvaline." Vahel jõuad veebi sirvimise ajal nende hoiatuste juurde, aga mida nad täpselt tähendavad?
Segasisu on kahte tüüpi - üks on hullem kui teine, kuid kumbki ei ole hea. Segatud sisu hoiatused näitavad, et külastatava veebilehe puhul on midagi valesti.
Mis on segatud sisu?
See kõik pärineb erinevusest HTTP ja HTTPS vahel. HTTP on kõige sagedamini kasutatav ühendusviis - kui külastate HTTP-protokolli kasutavat veebisaiti, ei ole teie ühendus veebisaidiga tagatud. Igaüks, kes liiklusest pealt kuulab, näeb teie vaatatavat lehte ja kõiki edastatud andmeid.
Sellepärast on meil HTTPS, mis on sõna otseses mõttes “HTTP Secure”. HTTPS loob turvalise ühenduse teie ja veebiserveri vahel. Ühendus on krüpteeritud ja autentne, nii et keegi ei saa teie liiklusest kinni ja teil on kindel, et olete ühendatud õigele veebisaidile. See on konto paroolide ja online-makseandmete kindlustamiseks äärmiselt oluline, tagades, et keegi ei saaks neid pealt kuulata.
Segatud sisuhoiatused viitavad probleemile veebilehe puhul, millele te HTTPS-i kaudu pääsete. HTTPS-ühendus peaks olema turvaline, kuid veebilehe lähtekood lähtub teistest ressurssidest ebaturvalise HTTP-protokolliga, mitte HTTPS-iga. Teie veebibrauseri aadressiriba ütleb, et olete ühendatud HTTPS-iga, kuid leht laadib ka taustal ebaturvalise HTTP-protokolliga ressursse. Et veenduda, et teie kasutatav veebileht ei ole täiesti turvaline, kuvatakse brauserite hoiatus, mis näitab, et lehel on nii HTTPS kui ka HTTP sisu - segatud sisu, teisisõnu.
Miks see on ohtlik
Siin on põhjus, miks see on tegelikult ohtlik. Oletame, et olete makselehel ja sisestate oma krediitkaardi numbri. Makse leht näitab, et see on krüpteeritud HTTPS-ühendus, kuid näete segasisu hoiatust. See peaks tõstma punase lipu. Võimalik, et teie sisestatavad makseandmed võivad jääda ebaturvalise sisu alla ja saata ebaturvalise ühenduse kaudu, kõrvaldades HTTPSi turvalisuse - keegi võiks teie tundlikke andmeid vaadata ja vaadata.
Kuna HTTP ei autenti veebiserverit samamoodi nagu HTTPS, siis on ka võimalik, et HTTP-saidilt skripti tõmbav turvaline HTTPS-sait võidakse ründaja skripti tõmbamiseks ja muul viisil turvalisel saidil käivitada. Kui kasutate HTTPS-i, on teil rohkem tagatisi selle kohta, et sisu ei ole muudetud ja see on õigustatud.
Mõlemal juhul kõrvaldab see turvalise HTTPS-ühenduse olemasolu. On võimalik, et veebisaidil võib olla ebaturvaline hoiatus ja see kaitseb endiselt teie isikuandmeid nõuetekohaselt, kuid me ei tea kindlalt ja ei tohiks riskida - sellepärast hoiatavad veebibrauserid teid, kui olete veebisaidil, mis pole kodeeritud korralikult.
Segatud aktiivne sisu vs segatud passiivne sisu
Tegelikult on kahte tüüpi segatüüpi. Ohtlikum on „segatud aktiivne sisu” või „segatud skriptimine”. See juhtub siis, kui HTTPS-i sait laadib skripti faili HTTP-ga. Skriptifail võib käivitada mis tahes koodi lehel, mida ta soovib, nii et skripti laadimine ebakindla ühenduse kaudu hävitab täielikult praeguse lehe turvalisuse. Veebibrauserid blokeerivad tavaliselt seda tüüpi segatud sisu täielikult.
Teine tüüp on „segatud passiivne sisu” või „segatud kuvasisu.” See juhtub siis, kui HTTPS-i sait laadib HTTP-ühenduse kaudu midagi pildi- või helifaili. Seda tüüpi sisu ei saa lehekülje turvalisust samal viisil rikkuda, nii et veebibrauserid ei reageeri nii karmilt. Siiski on ikka veel halb turvapraktika, mis võib põhjustada probleeme. Näiteks võib ründaja asendada kujutise eksitava pildiga, rikkudes teoreetiliselt turvalist lehekülge. Pildi laadimise taotlus sisaldab ka päiseid, mis sisaldavad veebisaidiga seotud küpsiseinfot, nii et isegi pildi laadimine ebaturvalise ühenduse kaudu võib põhjustada probleeme. Veebibrauseritel kuvatakse sageli hoiatussümbol või sõnum, mitte blokeeritakse sisu täielikult, sest seda tüüpi segatud sisu on endiselt reaalne veebisaitidel tavaline. Chrome'is näete lukku, millel on kollane kolmnurk.
Mida teha, kui näete segatud sisu hoiatust
Veebibrauserid blokeerivad vaikimisi tavalisest kõige ohtlikumaid segatud sisu tüüpe. Ärge avage seda. Kui te ei saa veebisaidile sisse logida ega sisestada online-makse üksikasju ilma segatud sisu laadimata, peaksite veebisaidilt lihtsalt lahkuma ja mitte sisestama oma teavet ebaturvaliseks veebisaidiks. Las veebisaitide omanikud teavad, et nende sait on ebakindel ja katki.
Kui näete hoiatust, et leht sisaldab muid ressursse, mis ei pruugi olla turvalised, on ilmselt siiski turvaline sisse logida. See ei ole hea märk, kui veebileht on sama oluline kui teie pangal on see probleem, kuid seda tüüpi segasisu hoiatus on väga levinud.
Teisest küljest ei ole segatud sisu hoiatused tõesti suured, kui kasutate veebisaiti, mis ei vaja HTTPS-i. Kõik kombineeritud sisu hoiatus tähendab, et HTTPS-i turvalisuse tagatud veebileht - teisisõnu halvimal juhul - külastatav veebileht on ebakindel kui tavaline HTTP-sait. Niisiis, kui sa kasutad sellist veebisaiti nagu Wikipedia, et lugeda mõningaid artikleid ja sa nägid segatud sisu hoiatust, ei peaks te seda liiga palju hoolima. Halvimal juhul on see sama ebakindel, nagu oleksite lugenud artikleid Wikipedias tavalise HTTP-ühenduse kaudu, mida te ikkagi ei tee..
Miks mõnedel veebilehtedel on see probleem
Näete seda viga ainult siis, kui on probleem veebilehe kodeerimisega. Kui veebilehte serveeritakse HTTPS-i kaudu, peaks see kasutama ka HTTPS-protokolli, et tõmmata skriptifaile ja muud vajalikku sisu. Veebiarendajad peaksid testima oma veebilehti, tagades, et nad ei käivitaks kasutajate brauserites hirmuäratavaid hoiatusi. Kui te olete kasutaja, ei saa te sellest midagi teha - selle parandamine on veebisaidi omaniku ülesanne.
Kui olete veebi arendaja, peate tagama, et teie HTTPS-leheküljed laadivad sisu HTTPS-i URL-idest, mitte HTTP-URL-idest. Üks võimalus seda teha on teha kogu veebisait ainult SSL-i kaudu, nii et kõik kasutab HTTPS-i.
Kui soovite luua lehekülje, mida saab serveerida HTTP või HTTPSi vahendusel ja teeb seda õigesti, saate kasutada protokolli suhtelist URL-i, et kasutaja brauser valiks vastavalt vajadusele HTTP või HTTPS, sõltuvalt sellest, millist protokolli kasutaja on ühendatud. Näiteks näeks välja pildi laadimiseks mõeldud protokolli suhteline URL
Veebibrauserid blokeerivad automaatselt segatud sisu või teie kaitset, mistõttu. Kui peate kasutama turvalist veebisaiti, mis ei tööta korralikult, kui te ei kasuta segatud sisu, peaks veebisaidi omanik selle parandama.