Kétféle kevert tartalom létezik: az egyik rosszabb a másiknál, de egyik sem jó. A vegyes tartalmi figyelmeztetések azt jelzik, hogy valami nem megfelelő a látogatott weboldalt illetően.
Mi a kevert tartalom?
Mindez a HTTP és a HTTPS közötti különbségre vezethető vissza. A HTTP a leggyakrabban használt kapcsolat típusa - ha HTTP protokoll használatával meglátogat egy webhelyet, akkor a weboldalhoz való kapcsolódás nem biztosított. Bárki, aki lehallgatja a forgalmat, láthatja az Ön által megtekintett oldalt, valamint az oda-vissza küldött adatokat.
Ezért van HTTPS, ami szó szerint "HTTP Secure". A HTTPS biztonságos kapcsolatot teremt Ön és a webszerver között. A kapcsolat titkosítva van, és hitelesített, így senki sem tudja elfojtani a forgalmát, és biztos lehet benne, hogy a megfelelő webhelyhez csatlakozik. Ez rendkívül fontos számlajelszavak és online fizetési adatok biztosításához, biztosítva, hogy senki sem lehallgasson rájuk.
A vegyes tartalmi figyelmeztetések hibát jeleznek egy olyan weboldalon, amelyet a HTTPS felett elér. A HTTPS-kapcsolatnak biztonságosnak kell lennie, de a weboldal forráskódja más forrásokkal a nem biztonságos HTTP-protokollal, nem pedig a HTTPS-mel húzódik. A böngésző címsávja azt mondja, hogy kapcsolódik a HTTPS-hez, de az oldal ugyancsak betölti az erőforrásokat a háttérben lévő bizonytalan HTTP protokollal. Annak biztosítása érdekében, hogy tudjátok, hogy az Ön által használt weboldal nem teljesen biztonságos, a böngészők figyelmeztetést fogalmaznak meg arról, hogy az oldal mind HTTPS, mind HTTP tartalmú - vegyes tartalmat tartalmaz, vagyis más szavakkal.
Miért ez veszélyes
Ezért van ez valójában veszélyes. Tegyük fel, hogy fizetési oldalon vagy, és meg akarja adni a hitelkártya számát. A fizetési oldal azt jelzi, hogy titkosított HTTPS-kapcsolat, de vegyes tartalommal kapcsolatos figyelmeztetést lát. Ez piros zászlót emel. Lehetséges, hogy a befizetett fizetési adatokat a nem biztonságos tartalom rögzítheti és egy bizonytalan kapcsolaton keresztül elküldheti, eltávolítva a HTTPS biztonság előnyeit - valaki lehallgathat és megnézheti érzékeny adatait.
Mivel a HTTP nem hitelesíti a webszervert ugyanúgy, mint a HTTPS, lehetséges, hogy egy biztonságos HTTPS-webhely egy HTTP-webhelyen lévő parancsfájlt húzva becsaphat egy támadó forgatókönyvét, és futtathatja azt az egyébként biztonságos webhelyen. Ha a HTTPS-t használja, több biztosítékot kap arról, hogy a tartalom nem lett megváltoztatva és jogszerű.
Mindkét esetben ez kiküszöböli a biztonságos HTTPS-kapcsolat előnyeit. Előfordulhat, hogy a weboldal bizonytalan tartalommal figyelmeztet, és továbbra is megfelelő módon biztosítja a személyes adatait, de valójában nem tudjuk biztosan, és nem vállaljuk a kockázatot - ezért a webböngészők arra figyelmeztetnek Önt, megfelelően kódolva.
Vegyes aktív tartalom és vegyes passzív tartalom
Valójában kétféle vegyes tartalom létezik. Minél veszélyesebb egy "vegyes aktív tartalom" vagy "vegyes parancsfájl". Ez akkor fordul elő, ha egy HTTPS webhely betöl egy szkriptfájlt a HTTP felett. A szkriptfájl bármelyik kódot futtathatja az általa kívánt oldalra, így a szkript betöltése a nem biztonságos kapcsolat felett teljesen rombolja az aktuális oldal biztonságát. A webböngészők általában teljesen blokkolják ezt a vegyes tartalmat.
A második típus a "vegyes passzív tartalom" vagy a "vegyes megjelenítési tartalom". Ez akkor fordul elő, ha egy HTTPS webhely valamilyen képet vagy hangfájlt tölt be egy HTTP kapcsolaton keresztül. Ez a fajta tartalom nem tévesztheti meg az oldal biztonságát ugyanúgy, így a webböngészők nem reagálnak élesen. Azonban ez még mindig rossz biztonsági gyakorlat, ami problémákat okozhat. Például egy támadó félrevezető képet helyettesíthet a képen, és egy elméletileg biztonságos oldalt meghamisíthat. A képbetöltési kérelem olyan fejléceket is tartalmaz, amelyek webhelyekhez társított cookie-információkat tartalmaznak, így a kép egy nem biztonságos kapcsolat feltöltése is problémákat okozhat. A webböngészők gyakran figyelmeztető ikont vagy üzenetet jelenítenek meg, ahelyett, hogy teljesen blokkolnák a tartalmat, mivel ez a kevert tartalom még mindig olyan gyakori a valódi weboldalakon. A Chrome-ban egy sárga háromszögű lakat látható.
Mi a teendő, ha vegyes tartalom figyelmeztetést lát
A webböngészők alapértelmezés szerint általában blokkolják a legveszélyesebb vegyes tartalmat. Ne feloldja. Ha nem tud bejelentkezni egy weboldalra, vagy nem adja be az online fizetési adatokat a vegyes tartalom betöltése nélkül, hagyja el a webhelyet, és ne adja meg adatait egy nem biztonságos webhelyre. Hagyja, hogy a webhelytulajdonosok tudják, hogy webhelyük nem biztonságos és sérült.
Ha figyelmeztetést észlel, hogy az oldal olyan egyéb erőforrásokat tartalmaz, amelyek nem biztonságosak, akkor valószínűleg biztos, hogy be tud jelentkezni. Nem jó jel, ha egy olyan webhely, amely olyan fontos, mint a bankod, van ilyen problémája, de ez a fajta kevert tartalom figyelmeztetése nagyon gyakori.
Másrészről, a vegyes tartalom figyelmeztetések nem igazán nagy ügyek, ha olyan webhelyre érkezik, amely nem igényli a HTTPS-t.Mindegyik vegyes tartalom figyelmeztetése azt jelenti, hogy egy weboldal garantáltan kihasználja a HTTPS biztonságát - más szóval, a legrosszabb esetben a weboldal, amelyet látogat, ugyanolyan bizonytalan, mint egy szabványos HTTP-webhely. Tehát, ha egy weboldalhoz, például a Wikipédiahoz szeretne elolvasni néhány cikket, és vegyes tartalmú figyelmeztetést látott, akkor nem kell túl sokat törődnie vele. A legrosszabb esetekben ugyanúgy bizonytalan, mintha a Wikipédiában egy szabványos HTTP-kapcsolaton keresztül olvasna cikkeket, amelyeknek semmi gondja sincs.
Miért vannak ilyen weboldalak?
Ezt a hibát csak akkor látja, ha a weblap kódolásával kapcsolatos probléma merül fel. Ha egy weblapot a HTTPS-n keresztül kézbesítenek, akkor a HTTPS protokollt is használnia kell ahhoz, hogy szkriptfájlokat és egyéb szükséges tartalmakat húzzon. A webes fejlesztőknek tesztelniük kell weboldalaikat, biztosítva, hogy ne okozzanak félelmetes figyelmeztetéseket a felhasználók böngészőjében. Ha Ön felhasználó, akkor tényleg nem tehetsz semmit erről - a weboldal tulajdonosának javítania kell.
Ha webfejlesztő vagy, mindössze annyit kell tennie, hogy a HTTPS-oldalak betöltsék a tartalmat a HTTPS-URL-ekből, nem pedig a HTTP-URL-ekből. Ennek egyik módja az, hogy az egész webhely csak az SSL-en keresztül működik, így mindent csak a HTTPS-t használ.
Ha HTTP vagy HTTPS protokollon keresztül kézbesíthető oldalt szeretne létrehozni, akkor a "protokoll-relatív URL-ek" segítségével a felhasználó böngészője automatikusan választhatja a HTTP vagy a HTTPS protokollt, attól függően, hogy melyik protokollt használja a felhasználó kapcsolatban. Például egy olyan protokoll relatív URL-je, amely egy képet tölt be
. A böngésző automatikusan vagy http: vagy https: címet ad hozzá az URL indításához, attól függően, hogy melyik szükséges. Természetesen meg kell győződnie arról, hogy az Ön által használt webhely erőforrást kínál mind a HTTP, mind a HTTPS számára.A webböngészők automatikusan blokkolják a vegyes tartalmakat vagy a védelmet, és ez az oka. Ha biztonságos webhelyet szeretne használni, amely nem működik megfelelően, hacsak nem engedélyezi a vegyes tartalmat, a weboldal tulajdonosának javítania kell.