หน้าเว็บมีเนื้อหาผสมเมื่อมีการโหลด HTML เริ่มต้นผ่านการเชื่อมต่อ HTTPS ที่ปลอดภัย แต่ทรัพยากรอื่นๆ (เช่น รูปภาพ วิดีโอ สไตล์ชีต และสคริปต์) โหลดผ่านการเชื่อมต่อ HTTP ที่ไม่ปลอดภัย ชื่อหมายถึงการผสมผสานเนื้อหา HTTP และ HTTPS ในหน้าเดียว
การขอทรัพยากรย่อยโดยใช้โปรโตคอล HTTP ที่ไม่ปลอดภัยจะลดความปลอดภัยของหน้าเว็บ เนื่องจากคำขอเหล่านี้เสี่ยงต่อการโจมตีบนเส้นทาง ซึ่งผู้โจมตีจะดักฟังการเชื่อมต่อเครือข่ายและดูหรือแก้ไขการสื่อสารระหว่าง 2 ฝ่าย ด้วยการใช้ทรัพยากรเหล่านี้ ผู้โจมตีสามารถติดตามผู้ใช้และแทนที่เนื้อหาในเว็บไซต์ได้ และในกรณีที่มีเนื้อหาผสมที่มีการใช้งาน ผู้โจมตีจะสามารถควบคุมหน้าได้อย่างสมบูรณ์ ไม่ใช่แค่ทรัพยากรที่ไม่ปลอดภัย
แม้ว่าเบราว์เซอร์จำนวนมากจะรายงานคำเตือนเนื้อหาผสมให้ผู้ใช้ทราบ แต่รายงานก็มักจะสายเกินไป กล่าวคือ มีการส่งคำขอที่ไม่ปลอดภัยไปแล้ว ทำให้หน้าเว็บถูกบุกรุก
ตอนนี้เบราว์เซอร์ส่วนใหญ่บล็อกเนื้อหาผสมเพื่อความปลอดภัย เปลี่ยนคำขอเนื้อหาที่ไม่ปลอดภัยให้เป็นเนื้อหาที่ปลอดภัยเพื่อให้หน้าเว็บโหลดได้อย่างถูกต้อง
เนื้อหาผสม 2 ประเภท
เนื้อหาผสมมี 2 ประเภท ได้แก่ แอ็กทีฟและแพสซีฟ
เนื้อหาผสมแบบแพสซีฟ ซึ่งรวมถึงรูปภาพ วิดีโอ และเสียง จะไม่โต้ตอบกับส่วนที่เหลือของหน้า ดังนั้นการโจมตีแบบแทรกกลางการสื่อสารจึงถูกจำกัดว่าจะทำอย่างไรหากเป็นการสกัดกั้นหรือเปลี่ยนแปลงเนื้อหาดังกล่าว
เนื้อหาผสมที่ใช้งานอยู่จะโต้ตอบกับหน้าเว็บโดยรวม ซึ่งรวมถึงสคริปต์, สไตล์ชีต, iframe และโค้ดอื่นๆ ที่เบราว์เซอร์สามารถดาวน์โหลดและเรียกใช้ได้ การโจมตีเนื้อหาผสมที่มีการใช้งานทำให้ผู้โจมตีทำได้เกือบทุกสิ่งในหน้า
เนื้อหาผสมแบบแพสซีฟ
เนื้อหาผสมแบบแพสซีฟมีความเสี่ยงน้อยกว่าเนื้อหาผสมที่มีการใช้งาน แต่มีความเสี่ยงยังคงอยู่ ตัวอย่างเช่น ผู้โจมตีสามารถทำสิ่งต่อไปนี้
- สกัดกั้นคำขอ HTTP สำหรับรูปภาพในเว็บไซต์และเปลี่ยนหรือแทนที่รูปภาพเหล่านั้น
- แทนที่รูปภาพบนปุ่มเพื่อให้ผู้ใช้สับสน เช่น ลบเนื้อหาที่ต้องการบันทึก
- ทำให้เว็บไซต์เสียหายโดยการแทนที่รูปภาพด้วยเนื้อหาลามกอนาจาร
- แทนที่รูปภาพผลิตภัณฑ์ด้วยโฆษณาอย่างอื่น
แม้ว่าผู้โจมตีจะไม่ได้เปลี่ยนแปลงเนื้อหาของเว็บไซต์ แต่ผู้โจมตีจะติดตามผู้ใช้ผ่านคำขอเนื้อหาแบบผสมได้ อีกทั้งยังบอกได้ด้วยว่าผู้ใช้เข้าชมหน้าใดและผลิตภัณฑ์ใดโดยดูจากรูปภาพหรือแหล่งข้อมูลอื่นๆ ที่เบราว์เซอร์โหลด
หากมีเนื้อหาผสมแบบแพสซีฟ เบราว์เซอร์ส่วนใหญ่จะระบุในแถบที่อยู่ว่าหน้าเว็บไม่ปลอดภัย แม้ว่าหน้าเว็บจะโหลดผ่าน HTTPS ก็ตาม คุณสังเกตพฤติกรรมนี้ได้ในการสาธิตนี้
ที่ผ่านมา เนื้อหาผสมแบบแพสซีฟมีการโหลดในทุกเบราว์เซอร์ เพราะการบล็อกจะทำให้เว็บไซต์หลายแห่งเสียหาย ตอนนี้เริ่มเปลี่ยนแปลงไปแล้ว การอัปเดตอินสแตนซ์ของเนื้อหาผสมในเว็บไซต์จึงเป็นสิ่งสำคัญ
ในบางกรณี Chrome จะอัปเกรดเนื้อหาผสมแบบแพสซีฟโดยอัตโนมัติ ซึ่งหมายความว่าหากเนื้อหามีการฮาร์ดโค้ดเป็น HTTP แต่ใช้ได้ผ่าน HTTPS เบราว์เซอร์จะโหลดเวอร์ชัน HTTPS หากไม่มีเวอร์ชันที่ปลอดภัย ชิ้นงานจะไม่โหลด
เมื่อใดก็ตามที่ Chrome ตรวจพบเนื้อหาผสมหรืออัปเกรดเนื้อหาผสมแบบแพสซีฟโดยอัตโนมัติ Chrome จะบันทึกข้อความโดยละเอียดไปยังแท็บปัญหาในเครื่องมือสำหรับนักพัฒนาเว็บเพื่อแนะนำวิธีแก้ปัญหาเฉพาะของคุณ
เนื้อหาผสมที่ใช้งานอยู่
เนื้อหาผสมที่มีการใช้งานก่อให้เกิดภัยคุกคามมากกว่าเนื้อหาผสมแบบแพสซีฟ ผู้โจมตีสามารถสกัดกั้นและเขียนเนื้อหาที่ใช้งานอยู่ใหม่ โดยใช้เพื่อควบคุมหน้าเว็บของคุณหรือแม้แต่ทั้งเว็บไซต์ ซึ่งทำให้พวกเขาเปลี่ยนแปลงแง่มุมต่างๆ ของหน้าเว็บได้ ซึ่งรวมถึงการแสดงเนื้อหาอื่น การขโมยรหัสผ่านของผู้ใช้หรือข้อมูลรับรองการเข้าสู่ระบบอื่นๆ การขโมยคุกกี้เซสชันของผู้ใช้ หรือการเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์อื่นโดยสิ้นเชิง
เนื่องจากความเสี่ยงในการใช้เนื้อหาผสมที่มีการใช้งานนั้นสูงมาก เบราว์เซอร์ส่วนใหญ่จึงบล็อกเนื้อหาประเภทนี้โดยค่าเริ่มต้นเพื่อปกป้องผู้ใช้ แต่ลักษณะการทำงานจะแตกต่างกันระหว่างผู้ให้บริการเบราว์เซอร์และเวอร์ชันต่างๆ
การสาธิตนี้แสดงตัวอย่างเนื้อหาผสมที่ใช้งานอยู่ โหลดตัวอย่างผ่าน HTTP เพื่อดูเนื้อหาที่ถูกบล็อกเมื่อคุณโหลดตัวอย่างผ่าน HTTPS และดูรายละเอียดเนื้อหาที่ถูกบล็อกได้ในแท็บปัญหาในเครื่องมือสำหรับนักพัฒนาเว็บ
ข้อกำหนดด้านเนื้อหาผสม
เบราว์เซอร์เป็นไปตามข้อกำหนดของเนื้อหาผสม ซึ่งกำหนดหมวดหมู่เนื้อหาที่บล็อกได้และเนื้อหาที่บล็อกได้
ทรัพยากรจัดว่าเป็นเนื้อหาที่บล็อกได้ (เลือกได้) "เมื่อความเสี่ยงในการอนุญาตให้ใช้งานเนื่องจากเนื้อหาผสมมีน้ำหนักมากเกินไปจากความเสี่ยงที่เนื้อหาส่วนใหญ่ในเว็บไซต์จะหยุดชะงัก" นี่เป็นชุดย่อยของเนื้อหาผสมแบบแพสซีฟ
เนื้อหาผสมทั้งหมดที่เลือกบล็อกไม่ได้จะถือว่าบล็อกได้และควรถูกบล็อกโดยเบราว์เซอร์
ในช่วงไม่กี่ปีที่ผ่านมา การใช้ HTTPS ได้เพิ่มขึ้นอย่างรวดเร็วและกลายเป็นค่าเริ่มต้นที่ชัดเจนบนเว็บ ซึ่งทำให้เบราว์เซอร์พิจารณาบล็อกเนื้อหาผสมทั้งหมดได้ง่ายขึ้น แม้กระทั่งประเภททรัพยากรย่อยที่ระบุไว้ในข้อกำหนดของเนื้อหาผสมว่าบล็อกได้
เบราว์เซอร์รุ่นเก่า
ผู้เข้าชมบางรายอาจใช้เบราว์เซอร์รุ่นเก่า เบราว์เซอร์แต่ละเวอร์ชันจากผู้ให้บริการที่ต่างกัน จัดการเนื้อหาผสมแตกต่างกัน อย่างแย่ที่สุด เบราว์เซอร์และเวอร์ชันเก่าจะไม่บล็อกเนื้อหาผสมใดๆ เลยซึ่งเป็นอันตรายต่อผู้ใช้
การโหลดทรัพยากรทั้งหมดอย่างปลอดภัยและแก้ไขปัญหาเนื้อหาผสมจะทำให้มั่นใจได้ว่าเนื้อหาของคุณจะมองเห็นและปกป้องผู้ใช้จากเนื้อหาที่เป็นอันตรายซึ่งเบราว์เซอร์รุ่นเก่าอาจไม่บล็อก