Početna » kako da » Što je točno upozorenje na mješoviti sadržaj?

    Što je točno upozorenje na mješoviti sadržaj?

    "Ova stranica ima nesiguran sadržaj;" "prikazuje se samo siguran sadržaj;" "Firefox ima blokiran sadržaj koji nije siguran." Ponekad ćete naići na ta upozorenja tijekom pregledavanja weba, ali što točno znače?

    Postoje dvije vrste mješovitog sadržaja - jedna je gora od druge, ali niti jedna nije dobra. Upozorenja miješanog sadržaja ukazuju da nešto nije u redu s web-stranicom koju posjećujete.

    Što je mješoviti sadržaj?

    Sve se svodi na razliku između HTTP i HTTPS. HTTP je najčešće korištena vrsta veze - kada posjetite web-lokaciju pomoću HTTP protokola, veza s web-lokacijom nije osigurana. Svatko tko prisluškuje promet može vidjeti stranicu koju gledate i sve podatke koje šaljete naprijed i natrag.

    Zato imamo HTTPS, koji je doslovno "HTTP Secure". HTTPS stvara sigurnu vezu između vas i web poslužitelja. Veza je šifrirana i ovjerena, tako da nitko ne može njuškati na vašem prometu i imate izvjesnu sigurnost da ste povezani s ispravnom web-lokacijom. To je iznimno važno za osiguravanje lozinki računa i podataka o online plaćanju, čime se osigurava da ih nitko ne može prisluškovati.

    Upozorenja miješanog sadržaja ukazuju na problem s web stranicom kojoj pristupate putem HTTPS-a. HTTPS veza bi trebala biti sigurna, ali izvorni kôd web-stranice povlači druge resurse s nesigurnim HTTP protokolom, a ne HTTPS-om. Adresna traka vašeg web-preglednika reći će da ste povezani s HTTPS-om, ali stranica također učitava resurse s nesigurnim HTTP protokolom u pozadini. Da biste bili sigurni da ste sigurni da web-stranica koju koristite nije potpuno sigurna, preglednici prikazuju upozorenje da stranica ima i HTTPS i HTTP sadržaj - mješoviti sadržaj, drugim riječima.

    Zašto je to opasno

    Evo zašto je to zapravo opasno. Recimo da ste na stranici za plaćanje i upravo ćete unijeti broj svoje kreditne kartice. Stranica za plaćanje označava da je riječ o šifriranoj HTTPS vezi, ali vidite upozorenje s mješovitim sadržajem. Ovo bi trebalo podići crvenu zastavu. Moguće je da uneseni podaci o plaćanju budu uhvaćeni nesigurnim sadržajem i poslani preko nesigurne veze, čime se uklanja prednost HTTPS sigurnosti - netko bi mogao prisluškivati ​​i vidjeti vaše osjetljive podatke.

    Budući da HTTP ne provjeri autentičnost web-poslužitelja na isti način kao i HTTPS, moguće je da sigurno HTTPS web-mjesto povlači skriptu s HTTP stranice i može se prevariti tako da povuče napadačev skript i pokrene ga na inače zaštićenoj web-lokaciji. Kada se koristi HTTPS, imate više jamstava da sadržaj nije mijenjan i da je legitiman.

    U oba slučaja to eliminira prednost sigurne HTTPS veze. Moguće je da web-lokacija ima upozorenje o nesigurnom sadržaju i da još uvijek ispravno osigurava vaše osobne podatke, ali doista ne znamo sigurno i ne bismo trebali riskirati - zato vas web-preglednici upozoravaju kada naiđete na web-lokaciju koja nije ispravno kodiran.

    Mješoviti aktivni sadržaj u odnosu na miješani pasivni sadržaj

    Postoje zapravo dvije vrste mješovitog sadržaja. Opasniji je "mješoviti aktivni sadržaj" ili "mješovito skriptiranje". To se događa kada HTTPS stranica učita skriptu preko HTTP-a. Datoteka skripte može pokrenuti bilo koji kôd na stranici koju želi, tako da učitavanje skripte preko nesigurne veze u potpunosti uništava sigurnost trenutne stranice. Web-preglednici uglavnom blokiraju ovu vrstu miješanog sadržaja u potpunosti.

    Drugi tip je "mješoviti pasivni sadržaj" ili "mješoviti prikaz sadržaja". To se događa kada HTTPS stranica učita nešto poput slike ili audio datoteke preko HTTP veze. Ova vrsta sadržaja ne može na isti način uništiti sigurnost stranice, tako da web-preglednici ne reagiraju tako oštro. Međutim, to je još uvijek loša sigurnosna praksa koja može uzrokovati probleme. Naprimjer, napadač može zamijeniti sliku pogrešnom slikom, mijenjanjem teorijski sigurne stranice. Zahtjev za učitavanje slike također sadrži zaglavlja koja sadrže informacije o kolačićima povezane s web-lokacijom, pa čak i učitavanje slike preko nesigurne veze može uzrokovati probleme. Web-preglednici često prikazuju ikonu upozorenja ili poruku umjesto da u potpunosti blokiraju sadržaj, jer je ova vrsta miješanog sadržaja još uvijek uobičajena na stvarnim web-lokacijama. U Chromeu ćete vidjeti lokot sa žutim trokutom.

    Što učiniti kad vidite mješovito upozorenje o sadržaju

    Web-preglednici obično blokiraju najopasnije vrste miješanog sadržaja prema zadanim postavkama. Nemojte je deblokirati. Ako se ne možete prijaviti na web-lokaciju ili unijeti podatke o plaćanju na mreži bez učitavanja miješanog sadržaja, jednostavno napustite web-lokaciju i ne unosite podatke na nezaštićenu web-lokaciju. Neka vlasnici web-lokacija znaju da je njihova stranica nesigurna i slomljena.

    Ako vidite upozorenje da stranica sadrži druge resurse koji možda nisu sigurni, vjerojatno se sigurno možete prijaviti. To nije dobar znak ako je web-lokacija jednako važna kao i vaša banka, ali je ova vrsta upozorenja mješovitog sadržaja vrlo česta.

    S druge strane, upozorenja mješovitog sadržaja zapravo i nisu toliko važna ako pristupate web-lokaciji koja ne treba HTTPS. Sve što upozorava na mješoviti sadržaj, jest da web stranica zasigurno ima koristi od HTTPS sigurnosti - drugim riječima, u najgorem slučaju, web stranica koju posjećujete je nesigurna kao standardna HTTP stranica. Dakle, ako ste pristupali web-lokaciji kao što je Wikipedia samo da biste pročitali neke članke i vidjeli upozorenje mješovitog sadržaja, ne biste trebali previše brinuti o tome. U najgorem slučaju, to je jednako nesigurno kao da čitate članke na Wikipediji putem standardne HTTP veze, koju ionako ne biste imali problema.

    Zašto neke web stranice imaju ovaj problem

    Ovu ćete pogrešku vidjeti samo ako postoji problem s načinom na koji je web-stranica kodirana. Ako se web-stranica poslužuje preko HTTPS-a, ona bi također trebala koristiti protokol HTTPS za povlačenje datoteka skripte i drugog sadržaja koji to zahtijeva. Web-programeri bi trebali testirati svoje web-stranice, osiguravajući da u preglednicima korisnika ne pokreću zastrašujuća upozorenja. Ako ste korisnik, ne možete ništa učiniti u vezi s tim - to je na vlasniku web-lokacije da to popravi.

    Ako ste web-razvojni programer, sve što trebate učiniti jest osigurati da vaše HTTPS stranice učitavaju sadržaj s HTTPS URL-ova, a ne HTTP URL-ova. Jedan od načina da to učinite jest da cijela web-lokacija radi samo preko SSL-a, tako da sve koristi samo HTTPS.

    Ako želite napraviti stranicu koja se može posluživati ​​putem HTTP-a ili HTTPS-a i automatski učiniti pravu stvar, možete upotrijebiti "URL-ove u protokolu" kako bi korisnički preglednik automatski odabrao HTTP ili HTTPS prema potrebi, ovisno o tome koji je protokol korisnik spojen sa. Na primjer, relativni URL protokola za učitavanje slike izgledao bi

    Web-preglednici automatski blokiraju mješoviti sadržaj ili vašu zaštitu, i to je razlog zašto. Ako trebate koristiti sigurnu web-lokaciju koja ne funkcionira pravilno ako ne omogućite mješoviti sadržaj, vlasnik web-lokacije to treba popraviti.

    Što je točno “Windows 8.1 s Bingom”? Moram li koristiti Bing?
    Što tehnologija prepoznavanja slike Facebooka zna o vašim fotografijama
    Što točno je Laptop 'Display Audio' Driver?
    Sljedeći članak
    Što je točno parni stroj i hoću li ga?
    Prethodni članak
    Što točno je MAC adresa koristi za?