"Tällä sivustolla on epävakaa sisältö;" "vain suojattu sisältö näkyy;" "Firefox on estänyt sisältöä, joka ei ole turvallinen." Näet varoituksia satunnaisesti web-selaamisen aikana, mutta mitä tarkoittavat?
Sekalaista sisältöä on kahta tyyppiä - yksi on huonompi kuin toinen, mutta ei ole hyvä. Sekaväestysvaroitukset ovat osoitus siitä, että jotain on väärässä vierailemasi verkkosivun kanssa.
Kaikki tämä eroaa HTTP: n ja HTTPS: n välillä. HTTP on yleisin yhteys - kun käyt HTTP-protokollaa käyttävällä verkkosivustolla, yhteytesi sivustoon ei ole suojattu. Jokainen, joka salakuuntelee liikenteestä, voi nähdä katsomasi sivun ja kaikki lähettämät tiedot edestakaisin.
Siksi meillä on HTTPS, joka on kirjaimellisesti "HTTP Secure". HTTPS luo suojatun yhteyden sinun ja verkkopalvelimen välillä. Yhteys on salattu ja todennettu, joten kukaan ei voi snooptaa liikennettäsi ja sinulla on varmuus siitä, että olet yhteydessä oikeaan verkkosivustoon. Tämä on äärimmäisen tärkeää tilin salasanojen ja online-maksutietojen turvaamiseksi, jotta kukaan ei voi salakuunnella niitä.
Mixed content varoitukset viittaavat ongelmaan HTTPS-palvelua käyttävän verkkosivun yhteydessä. HTTPS-yhteyden pitäisi olla turvallinen, mutta verkkosivun lähdekoodi vetää muita resursseja epävarman HTTP-protokollan, ei HTTPS: n kanssa. Selaimesi osoiterivillä sanotaan, että olet yhteydessä HTTPS: hen, mutta sivu lataa myös resursseja epävarman HTTP-protokollan kanssa taustalla. Jotta varmistat, että käyttämäsi verkkosivut eivät ole täysin turvallisia, selaimissa näkyy varoitus, että sivulla on sekä HTTPS- että HTTP-sisältö - sekoitettu sisältö eli toisin sanoen.
Siksi miksi tämä on todella vaarallista. Oletetaan, että olet maksusivulla ja annat luottokorttisi numeron. Maksusivulla näkyy, että se on salattu HTTPS-yhteys, mutta näet sekoitetun sisällön varoituksen. Tämä nostaa punaisen lipun. On mahdollista, että tallentamasi maksutiedot saattavat tarttua epävarmasta sisällöstä ja lähetetään epävarman yhteyden kautta poistamalla HTTPS-tietoturvan hyödyt - joku voisi salata ja nähdä arkaluonteiset tiedot.
Koska HTTP ei autentikoi web-palvelinta samalla tavalla kuin HTTPS, on myös mahdollista, että HTTP-sivuston komentosarjasta vetävää suojattua HTTPS-sivustoa voidaan houkutella vetämällä hyökkääjän käsikirjoitus ja suorittamalla se muulla tavalla suojatulla sivustolla. Kun käytetään HTTPS-protokollaa, sinulla on enemmän varmoja siitä, että sisältöä ei muutettu ja se on oikeutettu.
Kummassakin tapauksessa tämä estää turvallisen HTTPS-yhteyden edun. On mahdollista, että verkkosivustolla saattaa olla epävarmoja sisältövaroituksia ja silti suojata henkilötietojasi kunnolla, mutta emme todellakaan tiedä varmasti eikä oteta riskiä - siksi selaimet varoittavat sinua, kun törmäät verkkosivustoon, joka ei ole koodattu oikein.
Todellisuudessa on kahdenlaisia sekoitettu sisältö. Vaarallisempi on "sekoitettu aktiivinen sisältö" tai "sekamuotoinen komentosarja". Tämä tapahtuu, kun HTTPS-sivusto lataa komentotiedoston HTTP: n kautta. Komentotiedosto voi suorittaa minkä tahansa koodin haluamaasi sivulle, joten komentosarjan lataaminen epävarman yhteyden yli kokonaan romuttaa nykyisen sivun suojauksen. Verkkoselaimet estävät kaiken tyyppisen sekoitetun sisällön kokonaan.
Toinen tyyppi on "mixed passive content" tai "mixed display content". Tämä tapahtuu, kun HTTPS-sivusto lataa jotain kuvaa tai äänitiedostoa HTTP-yhteyden kautta. Tämäntyyppinen sisältö ei voi rikkoa sivun suojausta samalla tavoin, joten selaimet eivät reagoi yhtä ankaraa. Se on kuitenkin edelleen huono suojauskäytäntö, joka voi aiheuttaa ongelmia. Esimerkiksi hyökkääjä voi korvata kuvan harhaanjohtavalla kuvalla, joka häiritsee teoreettisesti suojattua sivua. Kuvien latauspyyntö sisältää myös otsakkeita, jotka sisältävät verkkosivustoon liittyvän evästeinformaation, joten jopa kuvan lataaminen epävarman yhteyden kautta voi aiheuttaa ongelmia. Web-selaimet näyttävät usein varoituskuvakkeen tai -viestin sen sijaan, että ne estäisivät sisällön kokonaan, koska tällainen sekoitettu sisältö on edelleen niin tavallista todellisissa verkkosivustoissa. Chromessa näet riippulukon, jossa on keltainen kolmio.
Web-selaimet estävät oletusarvoisesti vaarallisimmat sekatekstityypit. Älä poista sitä. Jos et voi kirjautua verkkosivustoon tai kirjoittaa online-maksuja koskevia tietoja lataamatta sekoitettua sisältöä, jätä sivusto ja jättää tietosi turvalliseen verkkosivustoon. Anna sivuston omistajille tietää, että sivusto ei ole turvallinen ja rikki.
Jos näet varoituksen siitä, että sivulla on muita resursseja, jotka eivät välttämättä ole turvallisia, on todennäköisesti turvallista kirjautua joka tapauksessa. Se ei ole hyvä merkki siitä, onko verkkosivustolla yhtä tärkeä kuin pankillasi tämä ongelma, mutta tämäntyyppinen sekoitettu sisältövaroitus on hyvin yleinen.
Toisaalta sekoitettujen sisältövaroitusten tekeminen ei ole kovinkaan tärkeä, jos käytät verkkosivustoa, joka ei tarvitse HTTPS-palvelua. Kaikki sekasisällön varoitusjärjestelmä tarkoittaa sitä, että HTTPS-tietoturvan takaava verkkosivusto - toisin sanoen pahimmassa tapauksessa skannattava verkkosivusto on yhtä turvallinen kuin tavallinen HTTP-sivusto. Joten, jos käytit WWW-sivustoa, kuten Wikipediaa vain lukemaan joitakin artikkeleita ja näit sekatavaratiedotuksen, sinun ei pitäisi tarvita sitä liikaa. Pahimmassa tapauksessa se on aivan yhtä turvallinen kuin jos luet artikkeleita Wikipediasta tavallisella HTTP-yhteydellä, johon sinulla ei olisi mitään ongelmaa joka tapauksessa.
Näet tämän virheen vain, jos verkkosivu on koodattu. Jos verkkosivua käytetään HTTPS-protokollaa käytettäessä, sen on käytettävä myös HTTPS-protokollaa vetämään komentotiedostoja ja muuta sisältöä, jota se tarvitsee. Web-kehittäjien pitäisi testata verkkosivujaan varmistaen, että he eivät laukaise pelottavia varoituksia käyttäjien selaimissa. Jos olet käyttäjä, et todellakaan voi tehdä mitään tästä - sivuston omistaja voi korjata sen.
Jos olet web-kehittäjä, sinun on vain varmistettava, että HTTPS-sivusi lataavat sisältöä HTTPS-URL-osoitteista, ei HTTP-URL-osoitteista. Yksi tapa tehdä tämä on tehdä koko verkkosivusto toimii vain SSL, joten kaikki vain käyttää HTTPS.
Jos haluat tehdä sivun, joka voidaan lähettää HTTP- tai HTTPS-protokollan välityksellä ja tekee oikein automaattisesti, voit käyttää "protokollan suhteellisia URL-osoitteita", jotta käyttäjän selaimessa valitaan automaattisesti HTTP tai HTTPS, riippuen siitä, mikä protokolla käyttäjä on liittyy. Esimerkiksi näyttääksesi protokollan suhteellinen URL kuvaruudulle Web-selaimet estävät automaattisesti sekasisällön tai suojauksen, ja siksi. Jos sinun on käytettävä suojattua verkkosivustoa, joka ei toimi kunnolla, ellei oteta käyttöön sekoitettua sisältöä, verkkosivuston omistaja korjaa sen.