מה בדיוק הוא תוכן מעורבת אזהרה?
"באתר זה יש תוכן לא מאובטח", "רק תוכן מאובטח מוצג"; "Firefox חסם תוכן שאינו מאובטח". מדי פעם תיתקל באזהרות אלה בעת גלישה באינטרנט, אבל מה בדיוק הם מתכוונים?
ישנם שני סוגים של תוכן מעורב - אחד גרוע יותר מהשני, אבל גם זה לא טוב. אזהרות של תוכן מעורב מציינות שמשהו אינו כשורה בדף אינטרנט שבו אתה מבקר.
מה זה תוכן מעורב?
כל זה מסתכם ההבדל בין HTTP ו- HTTPS. HTTP הוא סוג החיבור הנפוץ ביותר - כאשר אתה מבקר באתר באמצעות פרוטוקול HTTP, החיבור לאתר האינטרנט אינו מאובטח. כל ציתות על התנועה יכול לראות את הדף שאתה מציג וכל נתונים שאתה שולח הלוך וחזור.
זו הסיבה שיש לנו HTTPS, שהוא פשוט "HTTP מאובטח". HTTPS יוצר חיבור מאובטח בינך לבין שרת האינטרנט. החיבור מוצפן ומאומת, כך שאף אחד לא יכול לחטט על התנועה שלך ויש לך קצת ביטחון שאתה מחובר לאתר הנכון. זה חשוב ביותר עבור הבטחת סיסמאות חשבון ונתוני התשלום המקוון, להבטיח שאף אחד לא יכול לצותת עליהם.
אזהרות של תוכן מעורב מציינות בעיה בדף אינטרנט שאליו אתה ניגש אל HTTPS. חיבור HTTPS צריך להיות מאובטח, אך קוד המקור של דף האינטרנט מושך משאבים אחרים באמצעות פרוטוקול HTTP לא מאובטח, ולא HTTPS. שורת הכתובת של דפדפן האינטרנט שלך תאמר שאתה מחובר ל- HTTPS, אך הדף גם טוען משאבים באמצעות פרוטוקול HTTP חסר אבטחה ברקע. כדי להבטיח שאתה יודע שדף האינטרנט שבו אתה משתמש אינו מאובטח לחלוטין, דפדפנים מציגים אזהרה המציינת שהדף כולל תוכן HTTPS ו- HTTP - תוכן מעורב, במילים אחרות.
למה זה מסוכן
הנה למה זה באמת מסוכן. נניח שאתה נמצא בדף תשלום ואתה עומד להזין את מספר כרטיס האשראי שלך. דף התשלום מציין שזה חיבור HTTPS מוצפן, אך תראה אזהרה של תוכן מעורב. זה צריך להעלות דגל אדום. ייתכן שפרטי התשלום שהזנת יכולים להילכד על ידי התוכן הלא מאובטח ונשלחו דרך חיבור לא מאובטח, ובכך להסיר את היתרון של האבטחה של HTTPS - מישהו יכול לצותת ולראות את הנתונים הרגישים שלך.
מאחר ש- HTTP אינו מאמת את שרת האינטרנט באותה דרך שבה HTTPS עושה זאת, ייתכן גם שניתן לעקוף אתר HTTPS מאובטח המושך סקריפט מאתר HTTP למשיכת סקריפט של התוקף ולהפעלתו באתר מאובטח אחרת. כאשר נעשה שימוש ב- HTTPS, יש לך יותר הבטחות לכך שהתוכן לא טופל ושהוא לגיטימי.
בשני המקרים, זה מבטל את היתרון של חיבור HTTPS מאובטח. ייתכן שאתר אינטרנט יכול להיות בעל אזהרת תוכן לא מאובטח ועדיין לאבטח את הנתונים האישיים שלך כהלכה, אך אנחנו באמת לא יודעים בוודאות ואיננו צריכים לקחת את הסיכון - לכן דפדפני אינטרנט מזהירים אותך כאשר אתה נתקל באתר שאינו מקודד כראוי.
תוכן מעורב מעורב תוכן פסיבי מעורב
יש למעשה שני סוגים של תוכן מעורב. אחד המסוכן יותר הוא "תוכן פעיל מעורב" או "Scripting מעורבת". זה קורה כאשר אתר HTTPS טוען קובץ Script על HTTP. קובץ Script יכול להפעיל כל קוד בדף שהוא רוצה, כך טעינת סקריפט על גבי חיבור לא מאובטח לחלוטין הורסת את האבטחה של הדף הנוכחי. דפדפני אינטרנט בדרך כלל לחסום סוג זה של תוכן מעורב לחלוטין.
הסוג השני הוא "תוכן פסיבי מעורב" או "תוכן תצוגה מעורב". הדבר מתרחש כאשר אתר HTTPS טוען משהו כמו תמונה או קובץ שמע דרך חיבור HTTP. סוג זה של תוכן לא יכול להרוס את האבטחה של הדף באותו אופן, כך דפדפני אינטרנט לא מגיבים בצורה קשה. עם זאת, זה עדיין תרגול אבטחה רע שיכול לגרום לבעיות. לדוגמה, תוקף יכול להחליף את התמונה בתמונה מטעה, לחבל בדף מאובטח מבחינה תיאורטית. בקשה לטעון תמונה מכילה גם כותרות המכילות מידע על קובצי cookie המשויכים לאתר, כך שגם טעינת תמונה על גבי חיבור לא מאובטח עלולה לגרום לבעיות. דפדפני אינטרנט לעתים קרובות להציג סמל אזהרה או הודעה במקום לחסום את התוכן לחלוטין, כמו זה סוג של תוכן מעורב עדיין כה נפוץ על אתרי אינטרנט אמיתיים. ב- Chrome, תראה מנעול עם משולש צהוב.
מה לעשות כאשר אתה רואה תוכן מעורבת אזהרה
בדרך כלל, דפדפני האינטרנט חוסמים את הסוגים המסוכנים ביותר של תוכן מעורב. אל תבטל את החסימה. אם אינך יכול להיכנס לאתר אינטרנט או להזין פרטי תשלום מקוונים מבלי לטעון את התוכן המעורב, עליך פשוט לעזוב את האתר ולא להזין את המידע שלך לאתר לא מאובטח. תן לבעלי האתר לדעת את האתר שלהם הוא לא מאובטח שבור.
אם אתה רואה אזהרה שדף מכיל משאבים אחרים שעשויים להיות לא בטוחים, סביר להניח שהוא בטוח להיכנס בכל זאת. זה לא סימן טוב אם אתר אינטרנט חשוב כמו הבנק שלך יש בעיה זו, אבל זה סוג של אזהרה תוכן מעורבת נפוצה מאוד.
מצד שני, אזהרות תוכן מעורבים הם לא באמת עניין גדול אם אתה ניגש לאתר כי לא צריך HTTPS. כל אזהרה של תוכן מעורב היא שדף אינטרנט המבטיח ליהנות מאבטחת HTTPS - במילים אחרות, בתרחיש המקרה הגרוע ביותר, דף האינטרנט שבו אתה מבקר אינו מאובטח כמו אתר HTTP סטנדרטי. אז, אם היית גישה לאתר כמו ויקיפדיה רק כדי לקרוא כמה מאמרים וראית אזהרה תוכן מעורבת, אתה לא צריך לדאוג לזה יותר מדי. במקרה הגרוע ביותר, זה פשוט לא מאובטח כאילו היית קורא מאמרים על ויקיפדיה מעל חיבור HTTP סטנדרטי, שבו אתה לא תהיה שום בעיה לעשות בכל מקרה.
למה דפי אינטרנט מסוימים יש בעיה זו
תראה את השגיאה הזו רק אם יש בעיה עם האופן שבו דף אינטרנט מקודד. אם דף אינטרנט מוצג מעל HTTPS, הוא צריך גם להשתמש בפרוטוקול HTTPS כדי למשוך קובצי Script ותוכן אחר שהוא דורש. מפתחי אינטרנט צריכים לבדוק את דפי האינטרנט שלהם, כדי להבטיח שהם לא יפעילו אזהרות מפחידות למראה בדפדפנים של המשתמשים. אם אתה משתמש, אתה לא יכול לעשות שום דבר בקשר לזה - זה תלוי בבעל האתר כדי לתקן את זה.
אם אתה מפתח אתרים, כל שעליך לעשות הוא לוודא שדפי HTTPS שלך נטענים תוכן מכתובות אתרים מסוג HTTPS, ולא מכתובות אתרים של HTTP. אחת הדרכים לעשות זאת היא על ידי הפיכת האתר כולו שלך לעבוד רק על SSL, אז הכל רק משתמש HTTPS.
אם אתה רוצה ליצור דף שניתן להציג באמצעות HTTP או HTTPS ועושה את הדבר הנכון באופן אוטומטי, תוכל להשתמש ב"כתובות אתרים יחסיות "כדי שהדפדפן של המשתמש יבחר באופן אוטומטי ב- HTTP או ב- HTTPS לפי הצורך, בהתאם לפרוטוקול שבו המשתמש נמצא מחובר עם. לדוגמה, כתובת אתר יחסית של פרוטוקול לטעינת תמונה תיראה
דפדפני אינטרנט חוסמים באופן אוטומטי תוכן מעורב או את ההגנה שלך, וזו הסיבה. אם עליך להשתמש באתר מאובטח שאינו פועל כראוי, אלא אם כן אתה מפעיל תוכן מעורב, על בעל האתר לתקן אותו.