تحتوي الصفحة على محتوى مختلَط عندما يتم تحميل ملف HTML الأوّلي من خلال اتصال آمن عبر HTTPS، ولكن يتم تحميل الموارد الأخرى (مثل الصور والفيديوهات وملفات الأنماط البرمجية والنصوص البرمجية) من خلال اتصال غير آمن عبر HTTP. يشير الاسم إلى مزيج محتوى HTTP وHTTPS على صفحة واحدة.
يؤدي طلب الموارد الفرعية باستخدام بروتوكول HTTP غير الآمن إلى إضعاف أمان الصفحة، لأنّ هذه الطلبات معرّضة للهجمات أثناء المسار، التي يتنصت فيها المهاجم على اتصال الشبكة ويعرض أو يعدّل التواصل بين طرفَين. باستخدام هذه الموارد، يمكن للمهاجمين تتبُّع المستخدِمين واستبدال المحتوى على موقع إلكتروني، وفي حال المحتوى المختلط النشط، يمكنهم التحكّم بشكل كامل في الصفحة، وليس فقط في الموارد غير الآمنة.
على الرغم من أنّ العديد من المتصفّحات تُرسل تحذيرات بشأن المحتوى المختلط إلى المستخدم، إلا أنّه يتم إرسال التقرير غالبًا بعد فوات الأوان: سبق أن تم تنفيذ الطلبات غير الآمنة وتم اختراق أمان الصفحة.
تحظر معظم المتصفحات حاليًا المحتوى المختلط لأسباب تتعلق بالأمان. غيِّر طلبات المحتوى غير الآمن إلى محتوى آمن لضمان مواصلة تحميل صفحتك بشكل صحيح.
نوعا المحتوى المختلط
هناك نوعان من المحتوى المختلط: المحتوى النشط والمحتوى السلبي.
لا يتفاعل المحتوى المختلَط السلبي، بما في ذلك الصور والفيديوهات والمحتوى الصوتي، مع بقية الصفحة، لذا تكون هجمات الخداع محدودة في ما يمكنها فعله إذا اعترضت هذا المحتوى أو غيّرته.
يتفاعل المحتوى المختلَط النشط مع الصفحة ككل. ويشمل ذلك النصوص البرمجية وأوراق الأنماط وإطارات iframe وأي رموز أخرى يمكن للمتصفح تنزيلها وتنفيذها. تتيح الهجمات على المحتوى المختلَط النشط للمهاجم تنفيذ أيّ إجراء تقريبًا ضد الصفحة.
المحتوى المختلط السلبي
يشكّل المحتوى المختلط السلبي خطرًا أقل من المحتوى المختلط النشط، ولكن يبقى هذا الخطر موجودًا. على سبيل المثال، يمكن للمهاجم إجراء ما يلي:
- اعتراض طلبات HTTP للصور على موقعك الإلكتروني وتبديل تلك الصور أو استبدالها
- استبدِل الصور على الأزرار كي لا يخطئ المستخدمون في استخدامها، مثلاً، ويحذفون محتوى كانوا يريدون حفظه.
- تشويه موقعك الإلكتروني عن طريق استبدال صورك بمحتوى إباحي
- استبدِل صور منتجاتك بإعلانات عن منتجات أخرى.
حتى إذا لم يغيّر المهاجم محتوى موقعك الإلكتروني، يمكنه تتبُّع المستخدمين من خلال طلبات المحتوى المختلط. ويمكنها أيضًا معرفة الصفحات التي يزورها المستخدم و المنتجات التي يطّلع عليها استنادًا إلى الصور أو الموارد الأخرى التي يحمّلها المتصفّح.
في حال توفّر محتوى مختلط سلبي، تشير معظم المتصفّحات في شريط العناوين إلى أنّ الصفحة غير آمنة، حتى إذا تم تحميل الصفحة نفسها عبر HTTPS. يمكنك ملاحظة هذا السلوك في هذا العرض التوضيحي.
حتى وقت قريب، كان يتم تحميل المحتوى المختلط السلبي في جميع المتصفّحات، لأنّه كان سيؤدي حظره إلى تعطُّل العديد من المواقع الإلكترونية. بدأ هذا الإجراء يتغيّر الآن، لذلك من المهم تعديل أيّ نُسخ من المحتوى المختلط على موقعك الإلكتروني.
في بعض الحالات، يعمل Chrome على ترقية المحتوى المختلَط السلبي تلقائيًا. وهذا يعني أنّه إذا تمّ ترميز مادة العرض بشكلٍ ثابت على أنّها HTTP ولكنها متاحة من خلال HTTPS، سيحمّل المتصفّح إصدار HTTPS. إذا لم يكن هناك إصدار آمن، لن يتم تحميل مادة العرض.
عندما يرصد Chrome محتوى مختلطًا أو يُجري ترقية تلقائية للمحتوى المختلط السلبي، يُسجّل رسائل مفصّلة في علامة التبويب المشاكل في "أدوات مطوّري البرامج في Chrome" لمساعدتك في حلّ مشكلتك المحدّدة.
محتوى مختلط نشط
يشكّل المحتوى المختلط النشط تهديدًا أكبر من المحتوى المختلط السلبي. يمكن للمهاجم إعادة كتابة المحتوى النشط واعتراضه، واستخدامه للتحكّم بشكل كامل في صفحتك أو حتى موقعك الإلكتروني بالكامل. يتيح لهم ذلك تغيير أي جانب من الصفحة، بما في ذلك عرض محتوى مختلف أو سرقة كلمات مرور المستخدمين أو بيانات اعتماد تسجيل الدخول الأخرى أو سرقة ملفات تعريف الارتباط لجلسة المستخدم أو إعادة توجيه المستخدم إلى موقع إلكتروني مختلف تمامًا.
ونظرًا لأنّ مخاطر المحتوى المختلَط النشط عالية جدًا، تحظر معظم المتصفّحات هذا النوع من المحتوى تلقائيًا لحماية المستخدمين، ولكن يختلف السلوك بين مورّدي المتصفّحات وإصداراتها.
يعرض هذا العرض التجريبي أمثلة على المحتوى المتعدّد النشط. حمِّل المثال من خلال بروتوكول HTTP للاطّلاع على المحتوى الذي يتم حظره عند تحميل المثال من خلال بروتوكول HTTPS. يمكنك أيضًا الاطّلاع على تفاصيل المحتوى المحظور في علامة التبويب المشاكل في أدوات مطوّري البرامج.
مواصفات المحتوى المختلط
تتّبع المتصفّحات مواصفات المحتوى المختلط، التي تحدّد فئتَي المحتوى الذي يمكن حظره اختياريًا والمحتوى الذي يمكن حظره.
يكون المورد مؤهلاً للاعتبار محتوى قابلاً للحظر اختياريًا "عندما يكون خطر السماح باستخدامه كمحتوى مختلط أكبر من خطر تعطيل أجزاء كبيرة من الويب". هذه مجموعة فرعية من المحتوى المختلَط السلبي.
يُعتبر كل المحتوى المختلط الذي لا يمكن حظره اختياريًا قابلاً للحظر، وعلى المتصفح حظره.
في السنوات الأخيرة، زاد استخدام بروتوكول HTTPS بشكل كبير، وأصبح البروتوكول التلقائي الواضح على الويب. وهذا يجعل من الأسهل الآن على المتصفّحات النظر في حظر كل المحتوى المختلط، حتى أنواع موارد الويب الفرعية المحدّدة في مواصفات المحتوى المختلط على أنّها قابلة للحظر اختياريًا.
المتصفّحات القديمة
قد يستخدم بعض الزوّار متصفّحات قديمة. تتعامل إصدارات المتصفحات المختلفة من المورّدين المختلفين مع المحتوى المختلط بشكل مختلف. في أسوأ الأحوال، لا تحظر المتصفحات والإصدارات القديمة أي محتوى مختلط على الإطلاق، ما يشكّل خطرًا على المستخدم.
من خلال تحميل جميع مواردك بأمان وحلّ مشاكل المحتوى المختلط، تضمن ظهور المحتوى الخاص بك وتحمي المستخدمين من المحتوى الخطير الذي قد لا تحظره المتصفّحات القديمة.