Ir divu veidu jauktais saturs - viens ir sliktāks par otru, bet ne labi. Jaukta satura brīdinājumi liecina, ka tīmekļa lapā, kuru apmeklējat, ir kaut kas nepareizs.
Kas ir jaukts saturs?
Tas viss ir atkarīgs no atšķirībām starp HTTP un HTTPS. HTTP ir visbiežāk izmantotais savienojuma veids - ja apmeklējat vietni, izmantojot HTTP protokolu, jūsu savienojums ar vietni nav drošs. Ikviens, kas noklausās satiksmi, var redzēt lapu, kuru skatāt, un visus datus, kurus jūs sūtāt uz priekšu un atpakaļ.
Tieši tāpēc mums ir HTTPS, kas ir burtiski "HTTP Secure." HTTPS izveido drošu savienojumu starp jums un tīmekļa serveri. Savienojums tiek šifrēts un autentificēts, tāpēc neviens nevar snoop jūsu satiksmes, un jums ir dažas pārliecības, ka esat izveidojis savienojumu ar pareizo vietni. Tas ir ārkārtīgi svarīgi, lai nodrošinātu kontu paroles un tiešsaistes maksājumu datus, nodrošinot, ka neviens nevar tos pārtvert.
Jaukta satura brīdinājumi norāda uz problēmu ar tīmekļa lapu, kurai piekļūstat HTTPS. HTTPS savienojumam jābūt drošam, bet tīmekļa lapas avota kodam tiek piesaistīti citi resursi ar nedrošu HTTP protokolu, nevis HTTPS. Jūsu tīmekļa pārlūkprogrammas adrešu joslā būs norādīts, ka esat izveidojis savienojumu ar HTTPS, taču lapā tiek ielādēti arī resursi ar nedrošu HTTP protokolu fonā. Lai nodrošinātu, ka jūs zināt, ka jūsu izmantotā tīmekļa vietne nav pilnīgi droša, pārlūkprogrammas parāda brīdinājumu, kurā teikts, ka lapai ir gan HTTPS, gan HTTP saturs - jaukts saturs, citiem vārdiem sakot.
Kāpēc tas ir bīstami
Lūk, kāpēc tas patiesībā ir bīstami. Pieņemsim, ka izmantojat maksājumu lapu, un jūs gatavojaties ievadīt kredītkartes numuru. Maksājuma lapa norāda, ka tas ir šifrēts HTTPS savienojums, bet jūs redzat brīdinājumu par jauktu saturu. Tam vajadzētu palielināt sarkano karogu. Iespējams, ka ievadītā maksājuma informācija var tikt uztverta ar nedrošu saturu un nosūtīta pa nedrošu savienojumu, noņemot labu HTTPS drošībai - kāds varētu noklausīties un skatīt jūsu konfidenciālos datus.
Tā kā HTTP autentificē tīmekļa serveri tāpat, kā to dara HTTPS, arī iespējams, ka droša HTTPS vietne, kas no HTTP vietnes skriptu ielādē, var tikt sagrābta, uzvilkot uzbrucēja skriptu un darbinot to citādi drošā vietā. Izmantojot HTTPS, jums ir lielākas garantijas, ka saturs nav ietekmēts un ir likumīgs.
Abos gadījumos tas novērš priekšrocības, kas saistītas ar drošu HTTPS savienojumu. Iespējams, ka vietne varētu būt brīdināti par nedrošu saturu un joprojām droši aizsargāt jūsu personas datus, taču mēs patiešām to nezina un nevajadzētu uzņemties risku, tādēļ tīmekļa pārlūkprogrammas brīdina jūs, kad jūs saskaraties ar vietni, kas nav pareizi kodēts.
Jaukts aktīvs saturs un jauktais pasīvā saturs
Patiesībā ir divu veidu jauktais saturs. Jo bīstamāk ir "jaukts aktīvs saturs" vai "jaukts skripts". Tas notiek, kad HTTPS vietne ielādē skripta failu, izmantojot HTTP. Skripta fails var palaist jebkuru kodu lapā, kuru tā vēlas, tādēļ skenera ievietošana nedrošā savienojumā pilnībā iznīcina pašreizējās lapas drošību. Tīmekļa pārlūkos parasti pilnībā tiek bloķēts šāda veida jauktais saturs.
Otrais veids ir "jauktais pasīvais saturs" vai "jaukta displeja saturs". Tas notiek, ja HTTPS vietne HTTP savienojuma laikā ielādē kaut ko līdzīgu attēlu vai audio failu. Šāda veida saturs nevar netraucēt lapas drošību tādā pašā veidā, tādēļ tīmekļa pārlūkprogrammas nereaģē tik skarbi. Tomēr tā joprojām ir slikta drošības prakse, kas var radīt problēmas. Piemēram, uzbrucējs var aizstāt attēlu ar maldinošu attēlu, kas manipulē ar teorētiski drošu lapu. Pieprasījums pēc attēla ielādes satur arī virsrakstus, kuros ir iekļauta sīkfailu informācija, kas saistīta ar vietni, tādēļ pat attēla ielāde pa nedrošu savienojumu var radīt problēmas. Tīmekļa pārlūkprogrammās bieži tiek rādīta brīdinājuma ikona vai ziņa, nevis pilnībā tiek bloķēts saturs, jo šāda veida jauktais saturs joprojām ir tik izplatīts reālajās vietnēs. Chrome redzēsit atslēgu ar dzeltenu trīsstūri.
Ko darīt, ja redzat brīdinājumu par jauktu saturu
Tīmekļa pārlūkprogrammas parasti bloķē visbīstamākos jaukta satura veidus pēc noklusējuma. Neaizvienojiet to. Ja nevarat pieteikties vietnē vai ievadīt informāciju par tiešsaistes maksājumu, neielādējot jaukto saturu, vienkārši atstājiet vietni un neievietojiet savu informāciju nedrošai vietnei. Ļaujiet vietņu īpašniekiem uzzināt, ka viņu vietne ir nedroša un salauzta.
Ja redzat brīdinājumu, ka lapā ir citi resursi, kas, iespējams, nav droši, jebkurā gadījumā iespējams droši pieteikties. Šī nav laba zīme, ja šai problēmai ir tik svarīga vietne kā jūsu bankai, taču šāda veida brīdinājums par jauktu saturu ir ļoti izplatīts.
No otras puses, jaukta satura brīdinājumi nav īsti liels darījums, ja piekļūstat vietnei, kurai nav nepieciešams HTTPS.Viss jaukta satura brīdinājuma līdzeklis nozīmē, ka vietnei tiek nodrošināta HTTPS drošība, citiem vārdiem sakot, sliktākajā gadījumā vietne, kuru apmeklējat, ir tikpat nedroša kā standarta HTTP vietne. Tātad, ja jūs apmeklējat vietni, piemēram, Wikipedia, lai lasītu dažus rakstus un jūs redzētu brīdinājumu par jauktu saturu, jums nav jāuztraucas par to pārāk daudz. Sliktākajā gadījumā tas ir tikpat nedrošs kā tad, ja jūs lasītu rakstus Wikipedia par standarta HTTP savienojumu, kuru jebkurā gadījumā nevajadzētu rasties.
Kāpēc dažām tīmekļa lapām rodas šī problēma
Šī kļūda parādīsies tikai tad, ja ir kāda problēma saistībā ar tīmekļa koda kodēšanu. Ja tīmekļa lapa tiek izsniegta, izmantojot HTTPS, tai ir jāizmanto HTTPS protokols, lai vilktu skriptu failus un citu saturu, kas nepieciešams. Web izstrādātājiem jāpārbauda savas tīmekļa lapas, nodrošinot, ka lietotāju pārlūkprogrammās tie neizraisa briesmīgus brīdinājumus. Ja esat lietotājs, jūs nevarat īsti izdarīt neko - tas ir atkarīgs no vietnes īpašnieka, lai to novērstu.
Ja esat tīmekļa izstrādātājs, viss, kas jums jādara, ir nodrošināt, lai HTTPS lapas ielādētu saturu no HTTPS URL, nevis HTTP adreses. Viens veids, kā to izdarīt, ir panākt, ka visa vietne darbojas tikai SSL, tāpēc viss vienkārši izmanto HTTPS.
Ja vēlaties izveidot lapu, kuru var piegādāt, izmantojot HTTP vai HTTPS, un tas viss notiek pareizi, varat izmantot "protokola relatīvos URL", lai lietotāja pārlūkprogramma automātiski izvēlētos HTTP vai HTTPS, atkarībā no tā, kurš protokols lietotājs ir savienots ar. Piemēram, šķietami izskatās tāds protokola relatīvais URL, kurā ielādēts attēls
Tīmekļa pārlūkprogrammas automātiski bloķē jauktu saturu vai jūsu aizsardzību, un tādēļ. Ja jums ir jāizmanto droša vietne, kas nedarbojas pareizi, ja vien neesat iespējojis jauktu saturu, vietnes īpašniekam tas ir jārisina.
