Apa yang Tepat Adakah Amaran Kandungan Campuran?

"Laman ini mempunyai kandungan yang tidak selamat;" "hanya kandungan yang selamat dipaparkan;" "Firefox telah menyekat kandungan yang tidak selamat." Anda sekali-sekala dapat melihat amaran ini semasa melayari web, tetapi apa yang sebenarnya maksudnya?

Terdapat dua jenis kandungan campuran - satu lebih buruk daripada yang lain, tetapi tidak baik. Amaran kandungan bercampur adalah dengan menunjukkan bahawa ada sesuatu yang tidak kena dengan halaman web yang anda lawati.

Apakah Kandungan Campuran??

Ini semua datang ke perbezaan antara HTTP dan HTTPS. HTTP adalah jenis sambungan yang paling biasa digunakan - apabila anda melawat laman web menggunakan protokol HTTP, sambungan anda ke laman web tidak terjamin. Sesiapa menjamu selera di trafik dapat melihat halaman yang sedang anda lihat dan mana-mana data yang anda hantar bolak-balik.

Itulah sebabnya kami mempunyai HTTPS, yang harfiah "HTTP Secure." HTTPS mewujudkan sambungan selamat antara anda dan pelayan web. Sambungan disulitkan dan disahkan, jadi tidak ada yang dapat mengintip lalu lintas anda dan anda mempunyai beberapa jaminan yang anda sambungkan ke laman web yang betul. Ini adalah sangat penting untuk mendapatkan kata laluan akaun dan data pembayaran dalam talian, memastikan tiada sesiapa yang dapat mendengarnya.

Amaran kandungan bercampur menunjukkan masalah dengan laman web yang anda akses melalui HTTPS. Sambungan HTTPS sepatutnya selamat, tetapi kod sumber halaman web sedang menarik sumber lain dengan protokol HTTP yang tidak selamat, bukan HTTPS. Bar alamat pelayar web anda akan mengatakan bahawa anda bersambung dengan HTTPS, tetapi halaman itu juga memuatkan sumber dengan protokol HTTP yang tidak selamat di latar belakang. Untuk memastikan anda mengetahui bahawa laman web yang anda gunakan tidak benar-benar selamat, penyemak imbas memaparkan peringatan yang menyatakan bahawa halaman tersebut mempunyai kandungan HTTPS dan HTTP - kandungan campuran, dengan kata lain.

Mengapa Ini Berbahaya?

Inilah sebabnya ini sebenarnya berbahaya. Katakan anda berada di halaman pembayaran dan anda akan memasukkan nombor kad kredit anda. Halaman pembayaran menandakan ia adalah sambungan HTTPS yang disulitkan, tetapi anda melihat amaran kandungan campuran. Ini harus menaikkan bendera merah. Ada kemungkinan butiran pembayaran yang anda masukkan boleh ditangkap oleh kandungan tidak selamat dan menghantar sambungan yang tidak selamat, menghapuskan manfaat keselamatan HTTPS - seseorang boleh mendengar dan melihat data sensitif anda.

Kerana HTTP tidak mengesahkan pelayan web dengan cara yang sama HTTPS tidak, juga mungkin bahawa tapak HTTPS selamat yang menarik dalam skrip dari laman HTTP boleh ditipu untuk menarik skrip penyerang dan menjalankannya di laman web yang selamat. Apabila HTTPS digunakan, anda mempunyai lebih banyak jaminan bahawa kandungan itu tidak diganggu dan sah.

Dalam kedua-dua kes, ini menghilangkan manfaat untuk mempunyai sambungan HTTPS yang selamat. Mungkin laman web mungkin mempunyai amaran kandungan yang tidak selamat dan masih menjamin data peribadi anda dengan betul, tetapi kami benar-benar tidak tahu pasti dan tidak boleh mengambil risiko - itulah sebabnya pelayar web memberi amaran kepada anda apabila anda menjumpai laman web yang tidak dikodkan dengan betul.

Kandungan Aktif Campuran vs Kandungan Pasif Campuran

Terdapat dua jenis kandungan campuran. Yang lebih berbahaya adalah "campuran kandungan aktif" atau "skrip campuran". Ini berlaku apabila tapak HTTPS memuatkan fail skrip melalui HTTP. Fail skrip boleh menjalankan sebarang kod pada halaman yang ia mahu, jadi memuatkan skrip melalui sambungan yang tidak selamat sepenuhnya merosakkan keselamatan halaman semasa. Pelayar web biasanya menyekat jenis kandungan campuran ini sepenuhnya.

Jenis kedua ialah "kandungan pasif bercampur" atau "kandungan paparan campuran." Ini berlaku apabila tapak HTTPS memuat sesuatu seperti gambar atau fail audio melalui sambungan HTTP. Jenis kandungan ini tidak boleh merosakkan keselamatan halaman dengan cara yang sama, jadi pelayar web tidak bertindak balas dengan kasar. Walau bagaimanapun, ia masih merupakan amalan keselamatan yang tidak baik yang boleh menyebabkan masalah. Contohnya, penyerang boleh menggantikan imej dengan imej yang mengelirukan, mengganggu halaman secara teori. Permintaan beban imej juga mengandungi tajuk yang mengandungi maklumat kuki yang dikaitkan dengan laman web, jadi walaupun memuat imej melalui sambungan yang tidak selamat dapat menyebabkan masalah. Pelayar web sering memaparkan ikon atau mesej amaran dan bukannya menghalang kandungan sepenuhnya, kerana kandungan campuran jenis ini masih begitu biasa di laman web sebenar. Di Chrome, anda akan melihat padlock dengan segitiga kuning.

Apa yang Harus Dilakukan Apabila Anda Melihat Amaran Kandungan Campuran

Pelayar web biasanya menghalang jenis kandungan campuran yang paling berbahaya secara lalai. Jangan buangnya. Jika anda tidak boleh log masuk ke laman web atau masukkan butiran pembayaran dalam talian tanpa memuatkan kandungan campuran, anda hanya perlu meninggalkan laman web dan tidak memasukkan maklumat anda ke dalam laman web yang tidak selamat. Biarkan pemilik laman web tahu tapak mereka tidak terjamin dan patah.

Sekiranya anda melihat amaran bahawa halaman mengandungi sumber-sumber lain yang mungkin tidak selamat, ia mungkin selamat untuk log masuk. Ini bukan satu petanda yang baik jika sebuah laman web yang penting seperti bank anda mempunyai masalah ini, namun amaran kandungan campuran jenis ini sangat umum.

Sebaliknya, amaran kandungan bercampur tidak benar-benar masalah besar jika anda mengakses laman web yang tidak memerlukan HTTPS. Semua amaran kandungan campuran bermakna bahawa laman web dijamin mendapat manfaat daripada keselamatan HTTPS - dengan kata lain, dalam senario kes terburuk, laman web yang anda lawati adalah sebagai tidak selamat sebagai laman HTTP standard. Oleh itu, jika anda mengakses laman web seperti Wikipedia untuk membaca beberapa artikel dan anda melihat amaran kandungan campuran, anda tidak perlu terlalu peduli terhadapnya. Dalam senario kes terburuk, ia tidak semestinya seolah-olah anda membaca artikel di Wikipedia melalui sambungan HTTP standard, yang anda tidak akan mempunyai masalah lagi.

Mengapa Beberapa Halaman Web Mempunyai Masalah Ini

Anda hanya akan melihat ralat ini jika terdapat masalah dengan cara halaman web dikodkan. Sekiranya halaman web disampaikan melalui HTTPS, ia juga harus menggunakan protokol HTTPS untuk menarik fail skrip dan kandungan lain yang diperlukan. Pemaju web harus menguji laman web mereka, memastikan bahawa mereka tidak memicu amaran menakutkan dalam pelayar pengguna. Jika anda seorang pengguna, anda tidak boleh melakukan apa-apa tentang perkara ini - terpulang kepada pemilik laman web untuk memperbaikinya.

Jika anda seorang pemaju web, yang perlu anda lakukan ialah memastikan halaman HTTPS anda memuatkan kandungan dari URL HTTPS, bukan URL HTTP. Salah satu cara untuk melakukan ini adalah dengan menjadikan seluruh laman web anda berfungsi hanya melalui SSL, jadi semuanya hanya menggunakan HTTPS.

Jika anda ingin membuat halaman yang boleh disampaikan melalui HTTP atau HTTPS dan melakukan perkara yang betul secara automatik, anda boleh menggunakan "URL relatif protokol" untuk mempunyai pelayar pengguna secara automatik memilih HTTP atau HTTPS sesuai, bergantung pada protokol mana yang pengguna bersambung dengan. Sebagai contoh, URL relatif protokol untuk memuat imej akan kelihatan seperti