Một trang có nội dung hỗn hợp khi HTML ban đầu của trang được tải qua kết nối HTTPS an toàn, nhưng các tài nguyên khác (chẳng hạn như hình ảnh, video, tệp kiểu và tập lệnh) được tải qua kết nối HTTP không an toàn. Tên này đề cập đến việc kết hợp nội dung HTTP và HTTPS trên một trang.
Việc yêu cầu tài nguyên phụ bằng giao thức HTTP không an toàn sẽ làm giảm tính bảo mật của trang, vì các yêu cầu này dễ bị tấn công trên đường truyền, trong đó kẻ tấn công sẽ nghe trộm kết nối mạng và xem hoặc sửa đổi hoạt động giao tiếp giữa hai bên. Khi sử dụng các tài nguyên này, kẻ tấn công có thể theo dõi người dùng và thay thế nội dung trên trang web. Trong trường hợp nội dung hỗn hợp đang hoạt động, chúng có thể kiểm soát hoàn toàn trang, chứ không chỉ các tài nguyên không an toàn.
Mặc dù nhiều trình duyệt báo cáo cảnh báo nội dung hỗn hợp cho người dùng, nhưng báo cáo này thường đến quá muộn: các yêu cầu không an toàn đã được thực hiện và tính bảo mật của trang bị xâm phạm.
Hầu hết các trình duyệt hiện đều chặn nội dung kết hợp vì lý do bảo mật. Thay đổi các yêu cầu nội dung không an toàn thành nội dung an toàn để đảm bảo trang của bạn luôn tải chính xác.
Hai loại nội dung hỗn hợp
Có hai loại nội dung hỗn hợp: nội dung chủ động và nội dung thụ động.
Nội dung hỗn hợp thụ động, bao gồm hình ảnh, video và âm thanh, không tương tác với phần còn lại của trang. Do đó, cuộc tấn công giả mạo sẽ bị hạn chế trong những gì có thể làm nếu chặn hoặc thay đổi nội dung đó.
Nội dung hỗn hợp đang hoạt động tương tác với toàn bộ trang. Bao gồm cả tập lệnh, tệp kiểu, iframe và mọi mã khác mà trình duyệt có thể tải xuống và thực thi. Các cuộc tấn công vào nội dung hỗn hợp đang hoạt động cho phép kẻ tấn công làm hầu hết mọi việc với trang.
Nội dung hỗn hợp thụ động
Nội dung hỗn hợp thụ động ít rủi ro hơn nội dung hỗn hợp chủ động, nhưng vẫn có rủi ro. Ví dụ: kẻ tấn công có thể:
- Chặn các yêu cầu HTTP cho hình ảnh trên trang web của bạn và hoán đổi hoặc thay thế các hình ảnh đó.
- Thay thế hình ảnh trên các nút khiến người dùng nhầm lẫn và xoá nội dung mà họ định lưu.
- Làm xấu trang web của bạn bằng cách thay thế hình ảnh bằng nội dung khiêu dâm.
- Thay thế hình ảnh sản phẩm bằng quảng cáo cho một sản phẩm khác.
Ngay cả khi không thay đổi nội dung trang web, kẻ tấn công vẫn có thể theo dõi người dùng thông qua các yêu cầu nội dung hỗn hợp. Các cookie này cũng có thể cho biết người dùng truy cập vào trang nào và xem sản phẩm nào dựa trên hình ảnh hoặc tài nguyên khác mà trình duyệt tải.
Nếu có nội dung hỗn hợp thụ động, hầu hết trình duyệt sẽ cho biết trong thanh địa chỉ rằng trang đó không an toàn, ngay cả khi chính trang đó được tải qua HTTPS. Bạn có thể quan sát hành vi này trong bản minh hoạ này.
Cho đến gần đây, nội dung hỗn hợp thụ động được tải trong tất cả trình duyệt vì việc chặn nội dung này sẽ làm hỏng nhiều trang web. Điều này hiện đang bắt đầu thay đổi, vì vậy, bạn cần phải cập nhật mọi trường hợp nội dung hỗn hợp trên trang web của mình.
Trong một số trường hợp, Chrome sẽ tự động nâng cấp nội dung hỗn hợp thụ động. Điều này có nghĩa là nếu một thành phần được mã hoá cứng là HTTP nhưng có sẵn qua HTTPS, thì trình duyệt sẽ tải phiên bản HTTPS. Nếu không có phiên bản bảo mật, thành phần sẽ không tải.
Bất cứ khi nào phát hiện nội dung hỗn hợp hoặc tự động nâng cấp nội dung hỗn hợp thụ động, Chrome sẽ ghi nhật ký thông báo chi tiết vào thẻ Vấn đề trong Công cụ cho nhà phát triển để tư vấn cho bạn cách khắc phục vấn đề cụ thể.
Nội dung hỗn hợp đang hoạt động
Nội dung hỗn hợp đang hoạt động gây ra mối đe doạ lớn hơn nội dung hỗn hợp không hoạt động. Kẻ tấn công có thể chặn và ghi đè nội dung đang hoạt động, sử dụng nội dung đó để kiểm soát toàn bộ trang hoặc thậm chí toàn bộ trang web của bạn. Điều này cho phép chúng thay đổi bất kỳ khía cạnh nào của trang, bao gồm cả việc hiển thị nội dung khác, đánh cắp mật khẩu người dùng hoặc thông tin đăng nhập khác, đánh cắp cookie phiên người dùng hoặc chuyển hướng người dùng đến một trang web hoàn toàn khác.
Do nguy cơ của nội dung hỗn hợp đang hoạt động rất cao, nên hầu hết các trình duyệt đều chặn loại nội dung này theo mặc định để bảo vệ người dùng, nhưng hành vi của các nhà cung cấp trình duyệt và phiên bản lại khác nhau.
Bản minh hoạ này cho thấy các ví dụ về nội dung hỗn hợp đang hoạt động. Tải ví dụ qua HTTP để xem nội dung bị chặn khi bạn tải ví dụ qua HTTPS. Nội dung bị chặn cũng được trình bày chi tiết trong thẻ Vấn đề trong Công cụ cho nhà phát triển.
Quy cách nội dung hỗn hợp
Trình duyệt tuân theo quy cách nội dung hỗn hợp, quy cách này xác định các danh mục nội dung có thể chặn và nội dung có thể chặn.
Một tài nguyên đủ điều kiện là nội dung có thể chặn tuỳ ý "khi rủi ro cho phép sử dụng tài nguyên đó dưới dạng nội dung hỗn hợp lớn hơn rủi ro gây hỏng các phần quan trọng của web". Đây là một tập hợp con của nội dung hỗn hợp thụ động.
Tất cả nội dung hỗn hợp không phải là nội dung có thể chặn tuỳ ý đều được coi là nội dung có thể chặn và trình duyệt phải chặn nội dung đó.
Trong những năm gần đây, mức sử dụng HTTPS đã tăng lên đáng kể và trở thành giao thức mặc định rõ ràng trên web. Điều này giúp trình duyệt có thể cân nhắc việc chặn tất cả nội dung hỗn hợp, ngay cả những loại tài nguyên phụ được xác định trong quy cách nội dung hỗn hợp là có thể chặn tuỳ ý.
Các trình duyệt cũ
Một số khách truy cập có thể sử dụng trình duyệt cũ. Các phiên bản trình duyệt của nhiều nhà cung cấp xử lý nội dung hỗn hợp theo cách khác nhau. Trong trường hợp xấu nhất, các trình duyệt và phiên bản cũ không chặn bất kỳ nội dung hỗn hợp nào, điều này không an toàn cho người dùng.
Bằng cách tải tất cả tài nguyên một cách an toàn và khắc phục các vấn đề về nội dung hỗn hợp, bạn đảm bảo rằng nội dung của mình hiển thị và bảo vệ người dùng khỏi nội dung nguy hiểm mà trình duyệt cũ có thể không chặn.