İlk HTML'si güvenli bir HTTPS bağlantısı üzerinden yüklenen ancak diğer kaynakları (resimler, videolar, stil sayfaları ve komut dosyaları gibi) güvenli olmayan bir HTTP bağlantısı üzerinden yükleyen sayfalar karma içerik barındırır. Bu ad, tek bir sayfada HTTP ve HTTPS içeriğinin bir arada kullanılmasını ifade eder.
Güvenli olmayan HTTP protokolü kullanılarak istenen alt kaynaklar, sayfanın güvenliğini zayıflatır. Bunun nedeni, bu isteklerin yoldaki saldırılara karşı savunmasız olmasıdır. Bu saldırılarda saldırgan, bir ağ bağlantısını dinler ve iki taraf arasındaki iletişimi görüntüler ya da değiştirir. Bu kaynakları kullanan saldırganlar, kullanıcıları izleyebilir ve web sitesindeki içeriği değiştirebilir. Etkin karma içerik söz konusu olduğunda ise yalnızca güvenli olmayan kaynakların değil, sayfanın tamamını kontrol edebilirler.
Birçok tarayıcı, kullanıcıya karma içerik uyarıları bildirse de bu bildirimler genellikle çok geç gelir: Güvenli olmayan istekler zaten gerçekleştirilmiştir ve sayfanın güvenliği ihlal edilmiştir.
Çoğu tarayıcı artık güvenlik nedeniyle karma içerikleri engelliyor. Sayfanızın doğru şekilde yüklenmeye devam etmesini sağlamak için güvenli olmayan içerik isteklerini güvenli içerik olarak değiştirin.
İki tür karma içerik
İki tür karma içerik vardır: etkin ve pasif.
Resim, video ve ses gibi pasif karma içerikler sayfanın geri kalanıyla etkileşime girmez. Bu nedenle, bu içeriklerin arasına giren veya bunları değiştiren bir ortadaki adam saldırısı, yapabileceği işlemler açısından kısıtlanır.
Etkin karma içerik, sayfayla bir bütün olarak etkileşim kurar. Buna komut dosyaları, stil sayfaları, iframe'ler ve tarayıcının indirip çalıştırabileceği diğer tüm kodlar dahildir. Etkin karma içeriğe yönelik saldırılar, saldırganın sayfayla ilgili neredeyse her şeyi yapmasına olanak tanır.
Pasif karma içerik
Pasif karma içerik, etkin karma içeriğe kıyasla daha az riskli olsa da risk yine de mevcuttur. Örneğin, saldırganlar:
- Sitenizdeki resimlere yönelik HTTP isteklerini durdurup bu resimleri değiştirin veya yerine başka resimler koyun.
- Düğmelerdeki resimleri değiştirerek kullanıcıların bunları karıştırmasını ve örneğin, kaydetmek istedikleri içeriği silmesini önleyin.
- Resimlerinizi pornografik içeriklerle değiştirerek sitenizde tahribat yapmak
- Ürün resimlerinizi başka bir ürüne ait reklamlarla değiştirebilirsiniz.
Saldırgan, sitenizin içeriğini değiştirmese bile karma içerik istekleri aracılığıyla kullanıcıları izleyebilir. Tarayıcı tarafından yüklenen resimlere veya diğer kaynaklara göre kullanıcının hangi sayfaları ziyaret ettiğini ve hangi ürünleri görüntülediğini de söyleyebilirler.
Pasif karma içerik varsa çoğu tarayıcı, sayfanın kendisi HTTPS üzerinden yüklendiğinde bile adres çubuğunda sayfanın güvenli olmadığını belirtir. Bu davranışı bu demoda gözlemleyebilirsiniz.
Yakın zamana kadar, pasif karma içerik tüm tarayıcılarda yükleniyordu. Bunun nedeni, engellenmesinin birçok web sitesini bozmasıydı. Bu durum artık değişmeye başlıyor. Bu nedenle, sitenizdeki karma içerik örneklerini güncellemeniz çok önemli.
Bazı durumlarda Chrome, pasif karma içeriği otomatik olarak yükseltir. Bu, bir öğe HTTP olarak sabit kodlanmışsa ancak HTTPS üzerinden kullanılabiliyorsa tarayıcının HTTPS sürümünü yüklediği anlamına gelir. Güvenli bir sürüm yoksa öğe yüklenmez.
Chrome, karma içerik algıladığında veya pasif karma içeriği otomatik olarak yükselttiğinde, belirli sorununuzu düzeltmeyle ilgili tavsiyelerde bulunmak için ayrıntılı mesajları DevTools'daki Sorunlar sekmesine kaydeder.
Etkin karma içerik
Etkin karma içerik, pasif karma içeriğe kıyasla daha büyük bir tehdit oluşturur. Saldırganlar, sayfanızı veya hatta web sitenizin tamamını kontrol etmek için etkin içeriği yakalayıp yeniden yazabilir. Bu sayede saldırganlar farklı içerikler gösterme, kullanıcı şifrelerini veya diğer giriş kimlik bilgilerini çalma, kullanıcı oturum çerezlerini çalma ya da kullanıcıyı tamamen farklı bir siteye yönlendirme gibi sayfanın herhangi bir yönünü değiştirebilir.
Etkin karma içeriğin riskleri çok yüksek olduğundan çoğu tarayıcı, kullanıcıları korumak için varsayılan olarak bu tür içerikleri engeller. Ancak bu davranış, tarayıcı tedarikçi firmaları ve sürümleri arasında değişiklik gösterir.
Bu demo, etkin karma içerik örneklerini gösterir. Örnek sayfayı HTTPS üzerinden yüklediğinizde engellenen içeriği görmek için örnek sayfayı HTTP üzerinden yükleyin. Engellenen içerikler, DevTools'taki Sorunlar sekmesinde de ayrıntılı olarak açıklanır.
Karma içerik spesifikasyonu
Tarayıcılar, isteğe bağlı olarak engellenebilecek içerik ve engellenebilecek içerik kategorilerini tanımlayan karma içerik spesifikasyonunu izler.
Bir kaynak, "karma içerik olarak kullanılmasına izin verme riskinin, web'in önemli bölümlerinin çalışmamasına yol açma riskinden ağır bastığı durumlarda" isteğe bağlı olarak engellenebilecek içerik olarak kabul edilir. Bu, pasif karma içeriğin bir alt kümesidir.
İsteğe bağlı olarak engellenemeyen tüm karma içerikler engellenebilir olarak kabul edilir ve tarayıcı tarafından engellenmelidir.
Son yıllarda HTTPS kullanımı önemli ölçüde arttı ve web'de varsayılan olarak kullanılıyor. Bu sayede tarayıcılar, karma içerik spesifikasyonunda isteğe bağlı olarak engellenebilir olarak tanımlanan alt kaynak türleri de dahil olmak üzere tüm karma içerikleri engellemeyi daha kolay bir şekilde değerlendirebilir.
Eski tarayıcılar
Bazı ziyaretçiler eski tarayıcılar kullanıyor olabilir. Farklı tedarikçi firmaların farklı tarayıcı sürümleri, karma içerikleri farklı şekilde işler. En kötü durumda, eski tarayıcılar ve sürümler karma içerikleri hiç engellemez. Bu da kullanıcı için güvenli değildir.
Tüm kaynaklarınızı güvenli bir şekilde yükleyerek ve karma içerik sorunlarınızı düzelterek içeriğinizin görünür olmasını sağlar ve kullanıcıları eski tarayıcıların engelleyemeyebileceği tehlikeli içeriklerden korursunuz.