تشتمل الصفحة على محتوى مختلط عند تحميل رمز HTML الأولي عبر اتصال HTTPS آمن، ولكن يتم تحميل الموارد الأخرى (مثل الصور والفيديوهات وأوراق الأنماط والنصوص البرمجية) عبر اتصال HTTP غير آمن. يشير الاسم إلى مزيج من محتوى HTTP وHTTPS على صفحة واحدة.
يؤدي طلب الموارد الفرعية باستخدام بروتوكول HTTP غير الآمن إلى إضعاف أمان الصفحة، لأن هذه الطلبات تكون عرضة للهجمات على المسار، حيث يتجسس المهاجم على الاتصال بالشبكة ويشاهد المحتوى أو يعدّل الاتصال بين طرفين. باستخدام هذه الموارد، يمكن للمهاجمين تتبع المستخدمين واستبدال المحتوى على موقع الويب، وفي حالة المحتوى المختلط النشط، يمكنهم التحكم الكامل في الصفحة، وليس فقط في الموارد غير الآمنة.
على الرغم من أنّ العديد من المتصفحات تُبلِغ المستخدم بتحذيرات من المحتوى المختلَط، غالبًا ما يكون التقرير متأخرًا جدًا: سبق أن تمّ تنفيذ الطلبات غير الآمنة وتم اختراق أمان الصفحة.
تحظر معظم المتصفحات الآن المحتوى المختلط لأسباب تتعلق بالأمان. يجب تغيير طلبات المحتوى غير الآمن إلى تأمين المحتوى لضمان استمرار تحميل صفحتك بشكل صحيح.
نوعا المحتوى المختلط
هناك نوعان من المحتوى المختلط: المحتوى النشط وغير النشط.
لا يتفاعل المحتوى المختلَط السلبي، بما في ذلك الصور والفيديو والصوت، مع باقي أجزاء الصفحة، لذا يتم تقييد هجوم الوسيط في ما يمكن أن يفعله عند اعتراض ذلك المحتوى أو تغييره.
يتفاعل المحتوى المختلَط النشط مع الصفحة ككل. ويتضمن هذا النصوص البرمجية وأوراق الأنماط وإطارات iframe وأي رمز آخر يمكن للمتصفح تنزيله وتنفيذه. تسمح الهجمات على المحتوى المختلَط النشط للمهاجم بتنفيذ أي شيء تقريبًا على الصفحة.
المحتوى المختلَط السلبي
يعد المحتوى المختلط السلبي أقل خطورة من المحتوى المختلط النشط، ولكن هذا الخطر لا يزال موجودًا. على سبيل المثال، يمكن للمهاجم:
- يمكنك اعتراض طلبات HTTP للصور على موقعك الإلكتروني واستبدال هذه الصور أو استبدالها.
- استبدل الصور الموجودة على الأزرار حتى يربكها المستخدمون، واحذف المحتوى الذي يريدون حفظه على سبيل المثال.
- تشويه موقعك الإلكتروني من خلال استبدال صورك بمحتوى إباحي.
- استخدِم إعلانات بدلاً من صور منتجاتك في منتج آخر.
حتى إذا لم يغير المهاجم محتوى الموقع، فيمكنه تتبع المستخدمين من خلال طلبات المحتوى المختلطة. ويمكنهم أيضًا تحديد الصفحات التي يزورها المستخدم والمنتجات التي يشاهدونها استنادًا إلى الصور أو الموارد الأخرى التي يحمِّلها المتصفّح.
في حال توفُّر محتوى مختلط سلبي، تشير معظم المتصفحات في شريط العناوين إلى أنّ الصفحة غير آمنة، حتى عندما يتم تحميل الصفحة نفسها عبر HTTPS. يمكنك ملاحظة هذا السلوك في هذا العرض التوضيحي.
حتى وقت قريب، كان يتم تحميل المحتوى المختلَط السلبي في جميع المتصفحات، لأنّ حظره كان سيتسبّب في تعطّل العديد من المواقع الإلكترونية. لقد بدأنا الآن في التغير، لذا من الضروري تعديل أي حالات تتضمّن محتوى مختلطًا على موقعك الإلكتروني.
في بعض الحالات، يقوم Chrome بترقية المحتوى المختلَط السلبي تلقائيًا. وهذا يعني أنّه في حال تم ترميز مادة العرض بشكل ثابت كـ HTTP ولكنها متاحة عبر HTTPS، سيحمّل المتصفح نسخة HTTPS. وإذا لم يكن هناك نسخة آمنة، لا يتم تحميل مادة العرض.
عندما يرصد Chrome محتوى مختلَطًا أو يجري ترقية تلقائية لمحتوى مختلط سلبي، يسجِّل رسائل تفصيلية في علامة التبويب المشاكل في "أدوات مطوري البرامج" لتقديم المشورة لك بشأن حل مشكلتك المحدّدة.
المحتوى المختلَط النشط
يشكّل المحتوى المختلَط النشط تهديدًا أكبر من المحتوى المختلط السلبي. يمكن للمهاجم اعتراض المحتوى النشط وإعادة كتابته، ويستخدمه للتحكُّم الكامل في صفحتك أو حتى في موقعك الإلكتروني بالكامل. وهي تتيح لهم تغيير أي جانب من جوانب الصفحة، بما في ذلك عرض محتوى مختلف أو سرقة كلمات مرور المستخدمين أو غيرها من بيانات اعتماد تسجيل الدخول أو سرقة ملفات تعريف الارتباط لجلسات المستخدم أو إعادة توجيه المستخدم إلى موقع إلكتروني آخر بالكامل.
نظرًا لارتفاع مخاطر المحتوى المختلَط النشط، تحظر معظم المتصفحات هذا النوع من المحتوى تلقائيًا لحماية المستخدمين، ولكن يختلف السلوك باختلاف مورّدي المتصفِّح والإصدارات.
يعرض هذا العرض التوضيحي أمثلة على المحتوى المختلَط النشط. حمِّل المثال عبر HTTP للاطّلاع على المحتوى المحظور عند تحميل المثال عبر HTTPS. ويتم أيضًا توضيح المحتوى المحظور في علامة التبويب المشاكل ضمن "أدوات مطوري البرامج".
مواصفات المحتوى المختلط
تتّبع المتصفحات مواصفات المحتوى المختلط التي تحدّد فئتَي المحتوى القابل للحظر والمحتوى القابل للحظر.
يصبح المورد مؤهلاً ليصبح محتوى قابلاً للحظر اختياريًا "عندما تكون مخاطر السماح باستخدامه ضمن المحتوى المختلَط تفوق مخاطر تقسيم أجزاء كبيرة من الويب". هذه مجموعة فرعية من المحتوى المختلط السلبي.
إنّ كل المحتوى المختلَط الذي لا يمكن حظره اختياريًا يُعتبَر قابلاً للحظر، ويجب حظره من خلال المتصفّح.
في السنوات الأخيرة، ارتفعت نسبة استخدام بروتوكول HTTPS بشكل كبير، وقد أصبح استخدامه تلقائيًا بشكل واضح على الويب. سيسهّل ذلك على المتصفّحات الآن حظر كل المحتوى المختلَط، بما في ذلك أنواع الموارد الفرعية المحدّدة في مواصفات المحتوى المختلط على أنّها قابلة للحظر اختياريًا.
المتصفحات القديمة
قد يستخدم بعض الزائرين متصفحات قديمة. تتعامل إصدارات المتصفح المختلفة من موردين مختلفين مع المحتوى المختلط بشكل مختلف. في أسوأ الأحوال، لا تحظر المتصفّحات والإصدارات القديمة أي محتوى مختلط على الإطلاق، ما يُعتبر غير آمن للمستخدم.
من خلال تحميل جميع الموارد بأمان وحلّ مشاكل المحتوى المختلط، تضمن ظهور المحتوى في موقعك الإلكتروني وحماية المستخدمين من المحتوى الخطير الذي قد لا تحظره المتصفّحات القديمة.