Segatud sisu on kahte tüüpi - üks on halvem teistest, kuid kumbki pole ka hea. Segatud sisu hoiatused viitavad sellele, et külastatud veebilehega on midagi valesti.
Mis on segatud sisu?
See kõik sõltub HTTP ja HTTPSi erinevusest. HTTP on kõige sagedamini kasutatav sideühendus - kui külastate HTTP-protokolli kasutades veebisaiti, ei ole teie ühendus veebisaidiga turvaline. Liikluses pealtkuulamine võib näha lehte, mida vaatate, ja kõiki andmeid, mida sa saad edasi ja tagasi.
Sellepärast on meil HTTPS, mis on sõna otseses mõttes "HTTP Secure." HTTPS loob turvalise ühenduse teie ja veebiserveri vahel. Ühendus on krüpteeritud ja autentimine, nii et keegi ei saa oma liiklust jälgida ja teil on kindel, et olete õige veebisaidiga ühenduses. See on äärmiselt oluline kontode paroolide ja internetipõhiste maksete andmete turvalisuse tagamiseks, tagades, et keegi ei saa neile üle kuulata.
Segatööriistade hoiatused näitavad veebisaidi HTTPS-iga juurdepääsuga probleemi. HTTPS-i ühendus peab olema turvaline, kuid veebilehe lähtekood tõmbab ebaturvalist HTTP-protokolli, mitte HTTPS-i, muid ressursse. Teie veebibrauseri aadressiriba ütleb, et olete ühenduses HTTPS-iga, kuid lehel laaditakse ressursse ka ebaturvalise HTTP-protokolli taustal. Veendumaks, et teate, et teie kasutatav veebileht pole täiesti turvaline, kuvatakse brauseris hoiatus, et lehel on nii HTTPS kui ka HTTP-sisu - segatud sisu, teiste sõnadega.
Miks see on ohtlik
Sellepärast on see tegelikult ohtlik. Oletame, et olete makselehel ja te peate oma krediitkaardi numbri sisestama. Makse lehel on märge, et see on krüptitud HTTPS-ühendus, kuid näete segatud sisu hoiatust. See peaks tekitama punase lipu. Võimalik, et ebaturvalise sisuga saab sisestatud makseandmed salvestada ebaturvalist sisu ja saata üle ebaturvalise ühenduse, eemaldades HTTPS-i turvalisuse kasu - keegi võiks üle kuulata ja tundlikke andmeid näha.
Kuna HTTP ei tõesta veebiserveri autentimist samal viisil, kui HTTPS seda teeb, on ka võimalik, et turvalist HTTPS-saiti, mis tõmbab HTTP-saiti skripti, võib petta ründaja skripti tõmbamine ja selle käitamine muul viisil turvalisel saidil. Kui HTTPS-i kasutatakse, on teil rohkem kindlust, et sisu ei ole rikutud ja see on õigustatud.
Mõlemal juhul kaob see ära turvalise HTTPS-ühenduse olemasolu. Võimalik, et veebisaidil võib olla ebaturvaline sisu hoiatus ja teie isikuandmed on korralikult kaitstud, kuid me tõesti ei tea seda kindlasti ja ei peaks riskima - seepärast hoiatavad veebibrauserid teid, kui leiate veebisaiti, mis pole kodeeritud korralikult.
Segatud aktiivne sisu vs segavaba passiivne sisu
Seal on tegelikult kaht tüüpi segatud sisu. Rohkem ohtlik on "segatud aktiivne sisu" või "segatud skriptimine". See tekib, kui HTTPS-sait laadib skriptifaili üle HTTP-i. Skriptifail võib käivitada soovitud lehe kõiki koode, nii et skripti laadimine ebaturvalise ühenduse kaudu täielikult hävitab praeguse lehe turvalisuse. Veebibrauserid blokeerivad seda tüüpi segatud sisu täielikult.
Teine tüüp on segavaba passiivne sisu või segatud kuva sisu. See tekib siis, kui HTTPS-i sait laadib HTTP-ühenduse kaudu mingi pildi või helifaili. Seda tüüpi sisu ei saa lehe turvalisust rikkuda samal viisil, nii et veebibrauserid ei reageeri nii karmilt. Kuid see on endiselt halb turvalisuse tava, mis võib põhjustada probleeme. Näiteks võib ründaja asendada kujutise eksitava kujutisega, rikkudes teoreetiliselt turvalist lehte. Kujutispildi taotlus sisaldab ka päiseid, mis sisaldavad veebisaidiga seotud küpsiseteavet, nii et isegi pildi laadimine ebaturvalise ühenduse kaudu võib põhjustada probleeme. Veebibrauserid näitavad sageli hoiatusikooni või -teadet, mitte sisu blokeerivad, kuna selline segatud sisu on reaalsetes veebisaitides endiselt nii tavaline. Chrome'is näete kollase kolmnurga klapiga.
Mida teha, kui näete segavasisu hoiatust
Veebibrauserid blokeerivad tavaliselt vaikimisi kõige segatumat sisu kõige ohtlikumaid tüüpe. Ärge blokeerige seda. Kui te ei saa sisselogimiseks veebisaiti või sisestada veebisaidi makseid ilma segatud sisu laadimata, siis peaksite lihtsalt veebisaidilt lahkuma ja mitte sisestama oma andmed ebaturvaliseks veebisaidiks. Laske veebisaitide omanikud teada, et nende sait on ebaturvaline ja purunenud.
Kui näete hoiatust, et lehel on muid ressursse, mis ei pruugi olla turvalised, on igal juhul turvaline sisse logimine. See ei ole hea märk, kui probleem on teie pangale sama olulise veebisaidi puhul, kuid seda tüüpi segatud sisu hoiatus on väga levinud.
Seevastu hoiatused ei ole tegelikult suured, kui külastate veebisaiti, mis ei vaja HTTPS-i.Kõik segatud sisu hoiatus tähendab seda, et veebisait tagab HTTPS-i turvalisuse kasu - teisisõnu, halvima stsenaariumi korral külastatav lehekülg on ebaturvaline kui tavaline HTTP-sait. Niisiis, kui külastate veebisaiti nagu Wikipedia, et lugeda mõnda artiklit ja näeksite segatud sisu hoiatust, ei pea te seda liiga palju hoolt kandma. Halvima stsenaariumi korral on see sama ebakindel, nagu oleksite lugenud artikleid Wikipedias tavapärase HTTP-ühenduse kohta, mille puhul teil pole mingit probleemi.
Miks mõned veebilehed on seda probleemi
Näete selle vea ainult siis, kui veebilehe kodeeringus esineb probleem. Kui veebisait edastatakse HTTPS-i kaudu, peaks ka HTTPS-protokolli kasutama skriptifailide ja muu vajaliku sisu tõmbamiseks. Veebiarendajad peaksid oma veebisaite kontrollima, tagades, et kasutajate brauserites ei käivitu hirmutav hoiatus. Kui olete kasutaja, ei saa te selle kohta midagi teha - see on veebisaidi omanik selle parandamiseks.
Kui olete veebiarendaja, peate ainult tagama, et teie HTTPS-i lehed laadiksid sisu HTTPS-i URL-idelt, mitte HTTP-aadressidest. Üks võimalus seda teha on see, kui kogu veebisait toimib SSL-i kaudu, nii et kõik lihtsalt kasutab HTTPS-i.
Kui soovite luua lehte, mida saab edastada HTTP või HTTPS-i kaudu ja kas see on õige asi automaatselt, saate kasutada "protokolli suhtelisi URL-e", et kasutaja brauser valiks vastavalt vajadusele HTTP või HTTPS, olenevalt sellest, millist protokolli kasutaja on ühendatud. Näiteks näeks pilt laadimiseks protokolli suhteline URL-i
Veebibrauserid blokeerivad blokeerivat sisu või teie kaitset automaatselt ja seepärast. Kui peate kasutama turvalist veebisaiti, mis ei tööta korralikult, kui te ei võimalda segatud sisu, peaks veebisaidi omanik seda parandama.
