Strona zawiera treści mieszane, gdy jej początkowy kod HTML jest wczytywany przez bezpieczne połączenie HTTPS, ale inne zasoby (takie jak obrazy, filmy, czcionki i skrypty) są wczytywane przez niezabezpieczone połączenie HTTP. Nazwa odnosi się do mieszania treści HTTP i HTTPS na jednej stronie.
Wysyłanie żądań do zasobów podrzędnych za pomocą niezabezpieczonego protokołu HTTP osłabia bezpieczeństwo strony, ponieważ te żądania są podatne na ataki na ścieżce, w których trakcie atakujący podsłuchuje połączenia sieciowego i wyświetla lub modyfikuje komunikację między 2 stronami. Dzięki tym zasobom atakujący mogą śledzić użytkowników i zastępować treści w witrynie. W przypadku aktywnych treści mieszanych mogą przejąć pełną kontrolę nad stroną, a nie tylko nad niezabezpieczonymi zasobami.
Chociaż wiele przeglądarek wyświetla użytkownikom ostrzeżenia o zmieszanych treściach, często dzieje się to zbyt późno: żądania niechronione zostały już przesłane, a bezpieczeństwo strony zostało naruszone.
Większość przeglądarek blokuje obecnie treści mieszane ze względów bezpieczeństwa. Zmień żądania treści niezabezpieczonych na żądania treści zabezpieczonych, aby mieć pewność, że strona będzie się prawidłowo wczytywać.
Dwa typy treści mieszanych
Istnieją 2 rodzaje treści mieszanych: aktywne i pasywne.
Pasywne treści mieszane, w tym obrazy, filmy i dźwięk, nie oddziałują na pozostałą część strony, więc atak typu „człowiek pośrodku” jest ograniczony w swoich możliwościach, jeśli chodzi o przechwytywanie lub zmienianie tych treści.
Aktywne treści mieszane wchodzą w interakcję ze stroną jako całością. Obejmuje to skrypty, arkusze stylów, tagi iframe i inny kod, który przeglądarka może pobrać i wykonywać. Ataki na aktywną treść mieszaną umożliwiają atakującemu niemal dowolne działania na stronie.
Pasywna treść mieszana
Pasywne treści mieszane stanowią mniejsze zagrożenie niż aktywne treści mieszane, ale i w tym przypadku istnieje ryzyko. Na przykład atakujący może:
- przechwytywać żądania HTTP dotyczące obrazów w witrynie i zamieniać lub zastępować te obrazy.
- Zastąp obrazy na przyciskach, aby użytkownicy je pomylili i na przykład usunęli treści, które chcieli zapisać.
- oszpecić Twoją witrynę, zastępując obrazy treściami pornograficznymi;
- Zastąp zdjęcia produktów reklamami innych produktów.
Nawet jeśli atakujący nie zmieni treści Twojej witryny, może śledzić użytkowników za pomocą mieszanych żądań treści. Mogą też określić, które strony odwiedza użytkownik i które produkty przegląda, na podstawie obrazów lub innych zasobów wczytywanych przez przeglądarkę.
Jeśli występują pasywne treści mieszane, większość przeglądarek wskazuje na pasku adresu, że strona nie jest bezpieczna, nawet jeśli sama strona jest wczytywana przez HTTPS. Możesz to zaobserwować w tej prezentacji.
Do niedawna pasywne treści z różnymi ustawieniami SSL były ładowane we wszystkich przeglądarkach, ponieważ zablokowanie ich spowodowałoby problemy z wielu witrynami. Teraz zaczyna się to zmieniać, dlatego ważne jest zaktualizowanie wszystkich wystąpień treści mieszanych w Twojej witrynie.
W niektórych przypadkach Chrome automatycznie uaktualnia pasywną treść mieszaną. Oznacza to, że jeśli zasób został zakodowany na stałe jako HTTP, ale jest dostępny przez HTTPS, przeglądarka wczyta wersję HTTPS. Jeśli nie ma zabezpieczonej wersji, komponent się nie wczyta.
Gdy Chrome wykryje treści mieszane lub automatycznie zaktualizuje pasywne treści mieszane, zapisuje szczegółowe komunikaty na karcie Problemy w Narzędziach deweloperskich, aby pomóc Ci w rozwiązaniu konkretnego problemu.
Aktywna treść mieszana
Aktywna treść mieszana stanowi większe zagrożenie niż pasywna treść mieszana. Osoba przeprowadzająca atak może przechwycić i przepisać aktywne treści, aby przejąć pełną kontrolę nad Twoją stroną lub nawet całą witryną. Umożliwia to zmianę dowolnego aspektu strony, w tym wyświetlanie innych treści, kradzież haseł użytkowników lub innych danych logowania, kradzież plików cookie sesji użytkownika lub przekierowanie użytkownika do innej witryny.
Ze względu na wysokie ryzyko związane z aktywną treścią mieszaną większość przeglądarek domyślnie blokuje już tego typu treści, aby chronić użytkowników, ale zachowanie różni się w zależności od dostawcy i wersji przeglądarki.
Ten prezentacja zawiera przykłady aktywnych treści mieszanych. Wczytaj przykład przez HTTP, aby zobaczyć treści, które są blokowane, gdy wczytasz przykład przez HTTPS. Zablokowane treści są również szczegółowo opisane na karcie Problemy w Narzędziach deweloperskich.
Specyfikacja treści mieszanych
Przeglądarki stosują specyfikację treści mieszanych, która definiuje kategorie treści opcjonalnie blokowanych i treści blokowanych.
Zasób kwalifikuje się jako materiał możliwy do zablokowania „gdy ryzyko zezwolenia na jego wykorzystanie jako treści z różnymi ustawieniami przeważa nad ryzykiem uszkodzenia znacznych części internetu”. Jest to podzbiór pasywnej treści mieszanej.
Wszystkie treści mieszane, które nie są opcjonalnie blokowane, są uznawane za blokowane i powinny być blokowane przez przeglądarkę.
W ostatnich latach wykorzystanie HTTPS znacznie wzrosło, a protokół ten stał się domyślnym protokołem internetowym. Dzięki temu przeglądarki mogą teraz blokować wszystkie treści mieszane, nawet te typy zasobów podrzędnych, które w specyfikacji treści mieszanych zostały określone jako opcjonalnie blokowane.
Starsze przeglądarki
Niektórzy użytkownicy mogą korzystać ze starszych przeglądarek. Różne wersje przeglądarek od różnych dostawców różnie interpretują treści mieszane. W najgorszym przypadku starsze przeglądarki i ich wersje w ogóle nie blokują treści mieszanych, co jest niebezpieczne dla użytkownika.
Ładując wszystkie zasoby w bezpieczny sposób i rozwiązując problemy z mieszanymi treściami, zapewniasz widoczność swoich treści i chronisz użytkowników przed niebezpiecznymi treściami, które starsze przeglądarki mogą nie blokować.