Страница содержит смешанный контент , когда её исходный HTML-код загружается по защищённому HTTPS- соединению, а другие ресурсы (такие как изображения, видео, таблицы стилей и скрипты) загружаются по незащищённому HTTP-соединению. Название указывает на смешение HTTP- и HTTPS-контента на одной странице.
Запросы к подресурсам с использованием небезопасного протокола HTTP ослабляют безопасность страницы, поскольку такие запросы уязвимы для атак типа «перехват пути» , при которых злоумышленник перехватывает сетевое соединение и просматривает или изменяет обмен данными между двумя сторонами. Используя эти ресурсы, злоумышленники могут отслеживать пользователей и заменять контент на веб-сайте, а в случае активного смешанного контента они могут получить полный контроль над страницей, а не только над небезопасными ресурсами.
Хотя многие браузеры сообщают пользователю о предупреждениях, связанных с небезопасным содержимым, зачастую это происходит слишком поздно: небезопасные запросы уже выполнены, и безопасность страницы скомпрометирована.
В настоящее время большинство браузеров блокируют смешанный контент по соображениям безопасности. Замените запросы на небезопасный контент на запросы на безопасный контент, чтобы ваша страница продолжала корректно загружаться.
Два типа смешанного контента
Существует два типа смешанного контента: активный и пассивный.
Пассивный смешанный контент , включающий изображения, видео и аудио, не взаимодействует с остальной частью страницы, поэтому возможности атаки типа «человек посередине» ограничены, если она перехватит или изменит этот контент.
Активный смешанный контент взаимодействует со страницей в целом. Это включает в себя скрипты, таблицы стилей, iframe и любой другой код, который браузер может загрузить и выполнить. Атаки на активный смешанный контент позволяют злоумышленнику делать со страницей практически все, что угодно.
Пассивный смешанный контент
Пассивный смешанный контент представляет меньший риск, чем активный смешанный контент, но этот риск всё же существует. Например, злоумышленник может:
- Перехватывайте HTTP-запросы на изображения на вашем сайте и заменяйте или подменяйте эти изображения.
- Замените изображения на кнопках так, чтобы пользователи запутались и, например, удалили контент, который хотели сохранить.
- Испортите свой сайт, заменив изображения порнографическим контентом.
- Замените изображения товаров рекламой чего-нибудь другого.
Даже если злоумышленник не меняет контент вашего сайта, он может отслеживать пользователей с помощью запросов смешанного контента. Он также может определить, какие страницы посещает пользователь и какие товары просматривает, основываясь на изображениях или других ресурсах, загружаемых браузером.
Если присутствует пассивный смешанный контент, большинство браузеров указывают в адресной строке, что страница небезопасна, даже если сама страница загружается по протоколу HTTPS. Вы можете наблюдать это поведение в этом примере .
До недавнего времени пассивный смешанный контент загружался во всех браузерах, поскольку его блокировка привела бы к сбоям во многих веб-сайтах. Сейчас ситуация начинает меняться, поэтому крайне важно обновить все экземпляры смешанного контента на вашем сайте.
В некоторых случаях Chrome автоматически обновляет пассивный смешанный контент . Это означает, что если ресурс жестко закодирован как HTTP, но доступен по HTTPS, браузер загружает версию HTTPS. Если безопасной версии нет, ресурс не загружается.
Всякий раз, когда Chrome обнаруживает смешанный контент или автоматически обновляет пассивный смешанный контент, он записывает подробные сообщения на вкладку «Проблемы» в Инструментах разработчика, чтобы подсказать вам, как исправить конкретную проблему.
Активный смешанный контент
Активный смешанный контент представляет большую угрозу, чем пассивный смешанный контент. Злоумышленник может перехватить и переписать активный контент, используя его для получения полного контроля над вашей страницей или даже над всем вашим веб-сайтом. Это позволяет ему изменять любой аспект страницы, включая отображение другого контента, кражу паролей пользователей или других учетных данных для входа, кражу сессионных файлов cookie пользователей или перенаправление пользователя на совершенно другой сайт.
Поскольку риски, связанные с активным смешанным контентом, очень высоки, большинство браузеров уже блокируют этот тип контента по умолчанию для защиты пользователей, но поведение браузеров различается в зависимости от производителя и версии.
В этой демонстрации показаны примеры активного смешанного контента. Загрузите пример по протоколу HTTP , чтобы увидеть контент, который блокируется при загрузке примера по протоколу HTTPS . Подробная информация о заблокированном контенте также представлена на вкладке «Проблемы» в инструментах разработчика.
Спецификация смешанного содержимого
Браузеры соответствуют спецификации смешанного контента , которая определяет категории контента, который можно заблокировать , и контента, который можно заблокировать .
Ресурс считается контентом, который можно блокировать по желанию, «когда риск разрешения его использования в качестве смешанного контента перевешивается риском нарушения работы значительных участков сети». Это подмножество пассивного смешанного контента.
Весь смешанный контент, который нельзя заблокировать по желанию , считается блокируемым и должен быть заблокирован браузером.
В последние годы использование HTTPS резко возросло , и он стал явным стандартом по умолчанию в интернете. Это делает более целесообразным для браузеров блокировку всего смешанного контента, даже тех типов подресурсов, которые определены в спецификации смешанного контента как необязательно блокируемые .
Более старые браузеры
Некоторые посетители могут использовать старые версии браузеров. Разные версии браузеров от разных производителей по-разному обрабатывают смешанный контент. В худшем случае старые браузеры и версии вообще не блокируют смешанный контент, что небезопасно для пользователя.
Загружая все свои ресурсы безопасным способом и устраняя проблемы со смешанным контентом, вы обеспечиваете видимость своего контента и защищаете пользователей от опасного контента, который старые браузеры могут не блокировать.