Τι ακριβώς είναι μια προειδοποίηση ανάμεικτου περιεχομένου;
"Αυτός ο ιστότοπος έχει ανασφαλές περιεχόμενο" "εμφανίζεται μόνο ασφαλές περιεχόμενο" "Ο Firefox έχει αποκλείσει περιεχόμενο που δεν είναι ασφαλές." Περιστασιακά θα συναντήσετε αυτές τις προειδοποιήσεις κατά την περιήγηση στον ιστό, αλλά τι ακριβώς εννοούν?
Υπάρχουν δύο τύποι μικτών περιεχομένων - το ένα είναι χειρότερο από το άλλο, αλλά ούτε είναι καλό. Οι προειδοποιήσεις ανάμεικτου περιεχομένου δείχνουν ότι κάτι δεν πάει καλά σε μια ιστοσελίδα που επισκέπτεστε.
Τι είναι μεικτό περιεχόμενο?
Όλα αυτά συμβαδίζουν με τη διαφορά μεταξύ HTTP και HTTPS. Το HTTP είναι ο συνηθέστερα χρησιμοποιούμενος τύπος σύνδεσης - όταν επισκέπτεστε έναν ιστότοπο που χρησιμοποιεί το πρωτόκολλο HTTP, η σύνδεσή σας με τον ιστότοπο δεν είναι εξασφαλισμένη. Όποιος παρακολουθεί την κυκλοφορία μπορεί να δει τη σελίδα που βλέπετε και τα δεδομένα που στέλνετε εμπρός και πίσω.
Αυτός είναι ο λόγος για τον οποίο έχουμε το HTTPS, το οποίο είναι κυριολεκτικά "HTTP Secure". Το HTTPS δημιουργεί μια ασφαλή σύνδεση μεταξύ σας και του διακομιστή ιστού. Η σύνδεση είναι κρυπτογραφημένη και επικυρωμένη, οπότε κανείς δεν μπορεί να σπρώξει την κυκλοφορία σας και έχετε κάποια βεβαιότητα ότι είστε συνδεδεμένοι με τον σωστό ιστότοπο. Αυτό είναι εξαιρετικά σημαντικό για τη διασφάλιση κωδικών πρόσβασης λογαριασμών και ηλεκτρονικών δεδομένων πληρωμών, εξασφαλίζοντας ότι κανείς δεν μπορεί να τα παρακολουθήσει.
Οι προειδοποιήσεις μεικτού περιεχομένου υποδεικνύουν ένα πρόβλημα με μια ιστοσελίδα στην οποία έχετε πρόσβαση μέσω HTTPS. Η σύνδεση HTTPS θα πρέπει να είναι ασφαλής, αλλά ο πηγαίος κώδικας της ιστοσελίδας τραβάει άλλους πόρους με το ανασφαλές πρωτόκολλο HTTP και όχι το HTTPS. Η γραμμή διευθύνσεων του προγράμματος περιήγησης στο Web θα σας πει ότι είστε συνδεδεμένοι με το HTTPS, αλλά η σελίδα φορτώνει επίσης πόρους με το ανασφαλές πρωτόκολλο HTTP στο παρασκήνιο. Για να βεβαιωθείτε ότι η ιστοσελίδα που χρησιμοποιείτε δεν είναι απολύτως ασφαλής, τα προγράμματα περιήγησης εμφανίζουν μια προειδοποίηση λέγοντας ότι η σελίδα έχει περιεχόμενο HTTPS και HTTP - μεικτό περιεχόμενο, με άλλα λόγια.
Γιατί αυτό είναι επικίνδυνο
Εδώ γιατί είναι πραγματικά επικίνδυνο. Ας υποθέσουμε ότι είστε στη σελίδα πληρωμής και πρόκειται να πληκτρολογήσετε τον αριθμό της πιστωτικής σας κάρτας. Η σελίδα πληρωμής υποδεικνύει ότι είναι μια κρυπτογραφημένη σύνδεση HTTPS, αλλά βλέπετε μια προειδοποίηση ανάμεικτου περιεχομένου. Αυτό θα πρέπει να δημιουργήσει μια κόκκινη σημαία. Είναι πιθανό τα στοιχεία πληρωμής που εισάγετε να καταγράφονται από το μη ασφαλές περιεχόμενο και να αποστέλλονται μέσω μιας ασφαλούς σύνδεσης, καταργώντας το πλεονέκτημα της ασφάλειας HTTPS - κάποιος θα μπορούσε να παρακολουθήσει και να δει τα ευαίσθητα δεδομένα σας.
Επειδή το HTTP δεν επαληθεύει τον διακομιστή ιστού με τον ίδιο τρόπο που κάνει το HTTPS, είναι επίσης πιθανό ότι μια ασφαλή τοποθεσία HTTPS που τραβάει μια δέσμη ενεργειών από μια τοποθεσία HTTP θα μπορούσε να εξαπατηθεί να τραβήξει το σενάριο ενός εισβολέα και να το εκτελέσει στον ασφαλή ιστότοπο. Όταν χρησιμοποιείτε το HTTPS, έχετε περισσότερες εγγυήσεις ότι το περιεχόμενο δεν έχει παραβιαστεί και είναι νόμιμο.
Και στις δύο περιπτώσεις, αυτό εξαλείφει το πλεονέκτημα της κατοχής μιας ασφαλούς σύνδεσης HTTPS. Είναι πιθανό ένας ιστότοπος να έχει προειδοποίηση περιεχομένου ανασφαλής και να προστατεύει σωστά τα προσωπικά σας δεδομένα, αλλά πραγματικά δεν γνωρίζουμε με βεβαιότητα και δεν πρέπει να αναλαμβάνουμε τον κίνδυνο - αυτός είναι ο λόγος για τον οποίο τα προγράμματα περιήγησης ιστού σας προειδοποιούν όταν συναντάτε έναν ιστότοπο που δεν είναι κωδικοποιούνται σωστά.
Μικτό ενεργό περιεχόμενο έναντι μικτού παθητικού περιεχομένου
Υπάρχουν δύο τύποι μικτού περιεχομένου. Το πιο επικίνδυνο είναι το "mixed active content" ή το "mixed scripting". Αυτό συμβαίνει όταν ένας ιστότοπος HTTPS φορτώνει ένα αρχείο δέσμης ενεργειών μέσω HTTP. Το αρχείο δέσμης ενεργειών μπορεί να εκτελέσει οποιονδήποτε κώδικα στη σελίδα που θέλει, έτσι η φόρτωση ενός σεναρίου μέσω μιας μη ασφαλούς σύνδεσης καταστρέφει εντελώς την ασφάλεια της τρέχουσας σελίδας. Τα προγράμματα περιήγησης στο Web εμποδίζουν εντελώς αυτό το είδος μικτού περιεχομένου.
Ο δεύτερος τύπος είναι το "μικτό παθητικό περιεχόμενο" ή το "μικτό περιεχόμενο προβολής". Αυτό συμβαίνει όταν μια τοποθεσία HTTPS φορτώνει κάτι σαν μια εικόνα ή αρχείο ήχου μέσω μιας σύνδεσης HTTP. Αυτός ο τύπος περιεχομένου δεν μπορεί να καταστρέψει την ασφάλεια της σελίδας με τον ίδιο τρόπο, έτσι ώστε τα προγράμματα περιήγησης ιστού να μην αντιδρούν τόσο σκληρά. Ωστόσο, εξακολουθεί να είναι μια κακή πρακτική ασφάλειας που θα μπορούσε να προκαλέσει προβλήματα. Για παράδειγμα, ένας εισβολέας θα μπορούσε να αντικαταστήσει την εικόνα με μια παραπλανητική εικόνα, παραβιάζοντας μια θεωρητικά ασφαλή σελίδα. Μια αίτηση φόρτωσης εικόνας περιέχει επίσης κεφαλίδες που περιέχουν πληροφορίες cookie που σχετίζονται με έναν ιστότοπο, οπότε ακόμη και η φόρτωση μιας εικόνας μέσω μιας μη ασφαλούς σύνδεσης μπορεί να προκαλέσει προβλήματα. Τα προγράμματα περιήγησης Web εμφανίζουν συχνά ένα εικονίδιο ή ένα μήνυμα προειδοποίησης αντί να εμποδίζουν εντελώς το περιεχόμενο, καθώς αυτός ο τύπος μικτού περιεχομένου εξακολουθεί να είναι τόσο κοινός σε πραγματικούς ιστότοπους. Στο Chrome, θα δείτε ένα λουκέτο με ένα κίτρινο τρίγωνο.
Τι να κάνετε όταν βλέπετε μια προειδοποίηση μεικτού περιεχομένου
Τα προγράμματα περιήγησης στο Web συνήθως αποκλείουν από προεπιλογή τα πιο επικίνδυνα είδη μεικτού περιεχομένου. Μην την ξεμπλοκάρετε. Αν δεν μπορείτε να συνδεθείτε σε έναν ιστότοπο ή να καταχωρίσετε στοιχεία ηλεκτρονικής πληρωμής χωρίς να φορτώσετε το μεικτό περιεχόμενο, θα πρέπει να αφήσετε τον ιστότοπο και να μην καταχωρίσετε τις πληροφορίες σας σε έναν μη ασφαλές ιστότοπο. Ας ενημερώσουμε τους ιδιοκτήτες ιστοτόπων ότι ο ιστότοπός τους είναι ανασφαλής και σπασμένος.
Εάν βλέπετε μια προειδοποίηση ότι μια σελίδα περιέχει άλλους πόρους που ενδέχεται να μην είναι ασφαλείς, πιθανότατα ασφαλώς να συνδεθείτε ούτως ή άλλως. Δεν είναι καλό σημάδι εάν ένας ιστότοπος τόσο σημαντικός όσο η τράπεζά σας έχει αυτό το πρόβλημα, αλλά αυτός ο τύπος προειδοποίησης ανάμεικτου περιεχομένου είναι πολύ συνηθισμένος.
Από την άλλη πλευρά, προειδοποιήσεις ανάμεικτου περιεχομένου δεν είναι πραγματικά μεγάλη υπόθεση αν έχετε πρόσβαση σε έναν ιστότοπο που δεν χρειάζεται HTTPS. Όλα τα μέσα προειδοποίησης ανάμεικτου περιεχομένου είναι ότι μια ιστοσελίδα εγγυάται ότι θα επωφεληθεί από την ασφάλεια HTTPS - με άλλα λόγια, σε μια χειρότερη περίπτωση, η ιστοσελίδα που επισκέπτεστε είναι τόσο ανασφαλής όσο ένας τυπικός ιστότοπος HTTP. Έτσι, αν έχετε πρόσβαση σε έναν ιστότοπο, όπως η Wikipedia, για να διαβάσετε ορισμένα άρθρα και είδατε μια προειδοποίηση ανάμεικτου περιεχομένου, δεν θα πρέπει να ανησυχείτε για αυτό πάρα πολύ. Σε ένα χειρότερο σενάριο, είναι εξίσου ανασφαλές σαν να διαβάζετε άρθρα σχετικά με τη Wikipedia μέσω μιας τυπικής σύνδεσης HTTP, την οποία δεν θα έχετε κανένα πρόβλημα να κάνετε ούτως ή άλλως.
Γιατί ορισμένες ιστοσελίδες έχουν αυτό το πρόβλημα
Θα δείτε αυτό το σφάλμα μόνο αν υπάρχει κάποιο πρόβλημα με τον τρόπο κωδικοποίησης μιας ιστοσελίδας. Εάν μια ιστοσελίδα προβάλλεται μέσω του HTTPS, θα πρέπει επίσης να χρησιμοποιεί το πρωτόκολλο HTTPS για να τραβήξει αρχεία σεναρίων και άλλο περιεχόμενο που απαιτεί. Οι προγραμματιστές του διαδικτύου θα πρέπει να ελέγχουν τις ιστοσελίδες τους, διασφαλίζοντας ότι δεν προκαλούν τρομακτικές προειδοποιήσεις στα προγράμματα περιήγησης χρηστών. Αν είστε χρήστης, δεν μπορείτε πραγματικά να κάνετε τίποτα σχετικά με αυτό - εξαρτάται από τον κάτοχο του ιστότοπου να το διορθώσει.
Αν είστε προγραμματιστής ιστού, το μόνο που έχετε να κάνετε είναι να διασφαλίσετε ότι οι σελίδες σας HTTPS φορτώνουν περιεχόμενο από τις διευθύνσεις URL HTTPS και όχι από τις διευθύνσεις URL HTTP. Ένας τρόπος για να γίνει αυτό είναι κάνοντας ολόκληρο τον ιστότοπό σας να λειτουργεί μόνο μέσω SSL, οπότε τα πάντα χρησιμοποιούν το HTTPS.
Εάν θέλετε να δημιουργήσετε μια σελίδα που να μπορεί να προβάλλεται μέσω HTTP ή HTTPS και να κάνει το σωστό αυτόματα, μπορείτε να χρησιμοποιήσετε "σχετικές διευθύνσεις URL πρωτόκολλο" για να επιλέξετε το πρόγραμμα περιήγησης του χρήστη να επιλέγει αυτόματα HTTP ή HTTPS, ανάλογα με το ποιο πρωτόκολλο χρησιμοποιεί ο χρήστης συνδεδεμένη με. Για παράδειγμα, ένα σχετικό URL πρωτοκόλλου για τη φόρτωση μιας εικόνας θα μοιάζει
Τα προγράμματα περιήγησης στο Web αποκλείουν αυτόματα το μεικτό περιεχόμενο ή την προστασία σας και αυτός είναι ο λόγος. Εάν χρειάζεστε να χρησιμοποιήσετε έναν ασφαλή ιστότοπο που δεν λειτουργεί σωστά, εκτός εάν ενεργοποιήσετε μεικτό περιεχόμενο, ο κάτοχος του ιστότοπου πρέπει να το διορθώσει.