किसी पेज का शुरुआती एचटीएमएल, सुरक्षित एचटीटीपीएस कनेक्शन पर लोड होने पर, उसमें मिले-जुले कॉन्टेंट होता है. हालांकि, असुरक्षित एचटीटीपी कनेक्शन पर अन्य रिसॉर्स (जैसे कि इमेज, वीडियो, स्टाइलशीट, और स्क्रिप्ट) लोड होते हैं. यह नाम एक ही पेज पर मौजूद एचटीटीपी और एचटीटीपीएस, दोनों तरह के कॉन्टेंट के बारे में बताता है.
असुरक्षित एचटीटीपी प्रोटोकॉल का इस्तेमाल करके सबरिसॉर्स के लिए अनुरोध करने से पेज की सुरक्षा कमज़ोर हो जाती है. ऐसा इसलिए होता है, क्योंकि इन अनुरोधों पर पाथ से जुड़े हमलों का खतरा होता है. इनमें हमलावर, नेटवर्क कनेक्शन पर छिपकर नज़र रखता है और दो पक्षों के बीच की बातचीत को बदल देता है या उसे देखता है. इन संसाधनों का इस्तेमाल करके, हमलावर उपयोगकर्ताओं को ट्रैक कर सकते हैं और किसी वेबसाइट पर मौजूद कॉन्टेंट को बदल सकते हैं. साथ ही, अगर मिला-जुला कॉन्टेंट मौजूद है, तो वे असुरक्षित संसाधनों के साथ-साथ पेज पर भी पूरा कंट्रोल हासिल कर सकते हैं.
हालांकि, कई ब्राउज़र उपयोगकर्ता को मिले-जुले कॉन्टेंट की चेतावनियों की रिपोर्ट करते हैं, लेकिन रिपोर्ट में बहुत देर हो जाती है: असुरक्षित अनुरोध पहले ही किए जा चुके हैं और पेज की सुरक्षा के साथ छेड़छाड़ की गई है.
अब ज़्यादातर ब्राउज़र सुरक्षा वजहों से मिले-जुले कॉन्टेंट को ब्लॉक कर देते हैं. आपका पेज सही तरीके से लोड होता रहे, यह पक्का करने के लिए असुरक्षित कॉन्टेंट के अनुरोधों को सुरक्षित कॉन्टेंट में बदलें.
मिला-जुला कॉन्टेंट दो तरह के होते हैं
मिले-जुले कॉन्टेंट दो तरह के होते हैं: ऐक्टिव और पैसिव.
इमेज, वीडियो, और ऑडियो के साथ-साथ पैसिव मिक्स कॉन्टेंट, पेज के बाकी हिस्से के साथ इंटरैक्ट नहीं करता. इसलिए, मैन इन द मिडल अटैक को इस बात पर पाबंदी लगाई जाती है कि उस कॉन्टेंट को रोकने या उसमें बदलाव करने पर, उपयोगकर्ता क्या कर सकता है.
चालू मिला-जुला कॉन्टेंट पूरे पेज के साथ इंटरैक्ट करता है. इसमें स्क्रिप्ट, स्टाइलशीट, iframes, और ऐसे सभी दूसरे कोड शामिल होते हैं जिन्हें ब्राउज़र डाउनलोड और एक्ज़ीक्यूट कर सकता है. सक्रिय मिले-जुले कॉन्टेंट पर हमले की वजह से कोई हमलावर पेज पर करीब-करीब कुछ भी कर सकता है.
पैसिव मिक्स कॉन्टेंट
ऐक्टिव मिक्स कॉन्टेंट की तुलना में, पैसिव मिक्स कॉन्टेंट से जोखिम कम होता है. हालांकि, यह जोखिम अब भी बना रहता है. उदाहरण के लिए, कोई हमलावर ये काम कर सकता है:
- अपनी साइट पर इमेज के लिए एचटीटीपी अनुरोधों को रोकें और उन इमेज की अदला-बदली करें या उन्हें बदलें.
- बटन पर मौजूद इमेज की जगह किसी और इमेज का इस्तेमाल करें, ताकि उपयोगकर्ता भ्रम में पड़ सकें. उदाहरण के लिए, वह कॉन्टेंट मिटा दें जिसे वे सेव करना चाहते हैं.
- अपनी इमेज को पोर्नोग्राफ़ी वाले कॉन्टेंट से बदलकर, अपनी साइट को खराब करें.
- अपने प्रॉडक्ट की इमेज को किसी और चीज़ के विज्ञापनों से बदलें.
भले ही हमलावर आपकी साइट के कॉन्टेंट में बदलाव न करे, लेकिन वह मिले-जुले कॉन्टेंट के अनुरोधों की मदद से उपयोगकर्ताओं को ट्रैक कर सकता है. ब्राउज़र में लोड की जाने वाली इमेज या अन्य रिसॉर्स के आधार पर, उन्हें यह भी पता चल सकता है कि उपयोगकर्ता किन पेजों पर जाता है और कौनसे प्रॉडक्ट देखता है.
अगर पैसिव मिक्स कॉन्टेंट मौजूद है, तो ज़्यादातर ब्राउज़र पता बार में यह बताते हैं कि पेज सुरक्षित नहीं है. भले ही, पेज को एचटीटीपीएस पर लोड किया गया हो. इस डेमो में देखा जा सकता है.
कुछ समय पहले तक, सभी ब्राउज़र में पैसिव मिक्स कॉन्टेंट को लोड किया जाता था, क्योंकि ब्लॉक करने से कई वेबसाइटें काम नहीं करतीं. अब इस स्थिति में बदलाव आ रहा है. इसलिए, अपनी साइट पर मिले-जुले कॉन्टेंट के किसी भी इंस्टेंस को अपडेट करना ज़रूरी है.
कुछ मामलों में, Chrome पेसिव मिले-जुले कॉन्टेंट को अपने-आप अपग्रेड कर देता है. इसका मतलब है कि अगर किसी एसेट को एचटीटीपी के तौर पर हार्ड कोड किया गया है, लेकिन वह एचटीटीपीएस पर उपलब्ध है, तो ब्राउज़र एचटीटीपीएस वर्शन लोड करता है. अगर कोई सुरक्षित वर्शन मौजूद नहीं होता है, तो एसेट लोड नहीं होती है.
जब भी Chrome को मिले-जुले कॉन्टेंट का पता चलता है या पैसिव मिक्स कॉन्टेंट को अपने-आप अपग्रेड करता है, तो वह DevTools के समस्याएं टैब में, ज़्यादा जानकारी वाले मैसेज लॉग करता है. इससे आपको किसी खास समस्या को ठीक करने में मदद मिलती है.
मिला-जुला ऐक्टिव कॉन्टेंट
पैसिव मिक्स कॉन्टेंट के मुकाबले, ऐक्टिव मिले-जुले कॉन्टेंट से ज़्यादा खतरा होता है. कोई हमलावर सक्रिय सामग्री को बाधित करके उसे दोबारा लिख सकता है. उसका इस्तेमाल करके, वह आपके पेज या आपकी पूरी वेबसाइट को पूरी तरह से कंट्रोल कर सकता है. इससे पेज का कोई भी पहलू बदला जा सकता है. जैसे, अलग-अलग कॉन्टेंट दिखाना, उपयोगकर्ता के पासवर्ड या अन्य लॉगिन क्रेडेंशियल चुराना, उपयोगकर्ता की सेशन कुकी चुराना या उपयोगकर्ता को पूरी तरह से किसी दूसरी साइट पर रीडायरेक्ट करना.
ऐक्टिव मिला-जुला कॉन्टेंट इस्तेमाल करने के जोखिम बहुत ज़्यादा होते हैं. इसलिए, उपयोगकर्ताओं को सुरक्षित रखने के लिए, ज़्यादातर ब्राउज़र पहले से ही डिफ़ॉल्ट रूप से इस तरह के कॉन्टेंट को ब्लॉक कर देते हैं. हालांकि, ब्राउज़र के वेंडर और वर्शन के हिसाब से, इस तरह के कॉन्टेंट को इस्तेमाल करने का तरीका अलग-अलग होता है.
इस डेमो में ऐक्टिव मिक्स कॉन्टेंट के उदाहरण दिखाए गए हैं. एचटीटीपीएस पर उदाहरण लोड करने पर, ब्लॉक किया गया कॉन्टेंट देखने के लिए, इस उदाहरण को एचटीटीपी पर लोड करें. ब्लॉक किए गए कॉन्टेंट की जानकारी, DevTools के समस्याएं टैब में भी दी गई है.
मिले-जुले कॉन्टेंट की खास बातें
ब्राउज़र, मिले-जुले कॉन्टेंट की खास बातों का पालन करते हैं. इससे ब्लॉक किए जा सकने वाले कॉन्टेंट और ब्लॉक किए जा सकने वाले कॉन्टेंट की कैटगरी के बारे में बताया जाता है.
कोई संसाधन ब्लॉक किया जा सकने वाला कॉन्टेंट माना जाता है, "जब अलग-अलग तरह के कॉन्टेंट के रूप में इसके इस्तेमाल की अनुमति देने का जोखिम, वेब के अहम हिस्सों के टूटने का जोखिम कम हो जाता है". यह पैसिव मिक्स कॉन्टेंट का एक सबसेट है.
मिला-जुला कॉन्टेंट, जो वैकल्पिक तौर पर ब्लॉक न किया गया हो उसे ब्लॉक किया जा सकने वाला माना जाता है. साथ ही, उसे ब्राउज़र से ब्लॉक किया जाना चाहिए.
हाल के सालों में, एचटीटीपीएस का इस्तेमाल बहुत तेज़ी से बढ़ा है और यह वेब पर, डिफ़ॉल्ट रूप से दिखने लगा है. इससे अब ब्राउज़र के लिए सभी मिले-जुले कॉन्टेंट को ब्लॉक करना ज़्यादा आसान हो जाता है. यहां तक कि मिले-जुले कॉन्टेंट की खास बातों में बताए गए सबरिसॉर्स टाइप को भी ब्लॉक किया जा सकता है या नहीं के तौर पर ब्लॉक किया जा सकता है.
पुराने ब्राउज़र
कुछ विज़िटर पुराने ब्राउज़र का उपयोग कर सकते हैं. अलग-अलग वेंडर के ब्राउज़र के अलग-अलग वर्शन, मिले-जुले कॉन्टेंट को अलग-अलग तरीके से देखते हैं. सबसे बुरी बात यह है कि पुराने ब्राउज़र और वर्शन किसी भी मिले-जुले कॉन्टेंट को ब्लॉक नहीं करते, जो कि उपयोगकर्ता के लिए असुरक्षित है.
अपने सभी संसाधनों को सुरक्षित रूप से लोड करके और मिले-जुले कॉन्टेंट से जुड़ी समस्याओं को ठीक करके, आप यह पक्का करते हैं कि आपका कॉन्टेंट सभी को दिखे. साथ ही, आप लोगों को ऐसे खतरनाक कॉन्टेंट से सुरक्षित रखें जिन्हें शायद पुराने ब्राउज़र ब्लॉक न कर पाएं.