ما هو المحتوى المختلَط؟

Jo-el van Bergen
Jo-el van Bergen
X
Rachel Andrew

تتضمّن الصفحة محتوى مختلَطًا عندما يتم تحميل ترميز HTML الأوّلي عبر اتصال آمن HTTPS، ولكن يتم تحميل موارد أخرى (مثل الصور والفيديوهات وأوراق الأنماط والنصوص البرمجية) عبر اتصال HTTP غير آمن. يشير الاسم إلى مزيج من محتوى HTTP وHTTPS على صفحة واحدة.

يؤدي طلب موارد فرعية باستخدام بروتوكول HTTP غير الآمن إلى إضعاف أمان الصفحة، لأنّ هذه الطلبات تكون عرضة لهجمات على المسار، حيث يتنصّت المهاجم على اتصال الشبكة ويطّلع على الاتصال بين الطرفين أو يعدّله. باستخدام هذه الموارد، يمكن للمهاجمين تتبُّع المستخدمين واستبدال المحتوى على موقع إلكتروني، وفي حال المحتوى النشط المختلط، يمكنهم السيطرة بشكل كامل على الصفحة، وليس فقط على الموارد غير الآمنة.

على الرغم من أنّ العديد من المتصفّحات تعرض تحذيرات بشأن المحتوى المختلط للمستخدم، إلا أنّ هذا التحذير يصل غالبًا بعد فوات الأوان، أي بعد أن يتم تنفيذ الطلبات غير الآمنة وتعريض أمان الصفحة للخطر.

تحظر معظم المتصفحات الآن المحتوى المختلط لأسباب تتعلق بالأمان. غيِّر طلبات المحتوى غير الآمن إلى محتوى آمن لضمان استمرار تحميل صفحتك بشكل صحيح.

نوعا المحتوى المختلط

هناك نوعان من المحتوى المختلط: نشط وغير نشط.

المحتوى المختلط السلبي، بما في ذلك الصور والفيديوهات والمقاطع الصوتية، لا يتفاعل مع بقية الصفحة، لذا فإنّ هجوم الوسيط يقتصر على ما يمكنه فعله إذا اعترض هذا المحتوى أو غيّره.

يتفاعل المحتوى المختلط النشط مع الصفحة ككل. ويشمل ذلك النصوص البرمجية وأوراق الأنماط وإطارات iframe وأي شفرة أخرى يمكن للمتصفح تنزيلها وتنفيذها. تتيح الهجمات على المحتوى المختلط النشط للمهاجم تنفيذ أي إجراء تقريبًا على الصفحة.

محتوى مختلط غير نشط

المحتوى المختلط غير النشط أقل خطورة من المحتوى المختلط النشط، ولكن تظل هناك خطورة. على سبيل المثال، يمكن للمهاجم إجراء ما يلي:

  • اعتراض طلبات HTTP للصور على موقعك الإلكتروني واستبدال تلك الصور
  • استبدِل الصور على الأزرار حتى يختلط الأمر على المستخدمين، ويحذفوا مثلاً المحتوى الذي أرادوا حفظه.
  • تشويه موقعك الإلكتروني من خلال استبدال الصور بمحتوى إباحي
  • استبدال صور منتجاتك بإعلانات عن منتجات أخرى

حتى إذا لم يغيّر المخترق محتوى موقعك الإلكتروني، يمكنه تتبُّع المستخدمين من خلال طلبات المحتوى المختلط. ويمكنها أيضًا معرفة الصفحات التي يزورها المستخدم والمنتجات التي يشاهدها استنادًا إلى الصور أو الموارد الأخرى التي يحمّلها المتصفّح.

في حال توفّر محتوى مختلط سلبي، تشير معظم المتصفحات في شريط العناوين إلى أنّ الصفحة غير آمنة، حتى عندما يتم تحميل الصفحة نفسها عبر HTTPS. يمكنك ملاحظة هذا السلوك في هذا العرض التوضيحي.

حتى وقت قريب، كان يتم تحميل المحتوى المختلط غير النشط في جميع المتصفحات، لأنّ حظره كان سيؤدي إلى تعطيل العديد من المواقع الإلكترونية. بدأنا الآن في تغيير ذلك، لذا من الضروري تعديل أي محتوى مختلط على موقعك الإلكتروني.

في بعض الحالات، يرقّي Chrome تلقائيًا المحتوى المختلط السلبي. وهذا يعني أنّه إذا تم ترميز أحد الأصول بشكل ثابت على أنّه HTTP ولكنّه متاح عبر HTTPS، سيحمّل المتصفّح نسخة HTTPS. إذا لم تتوفّر نسخة آمنة، لن يتم تحميل مادة العرض.

عندما يرصد Chrome محتوًى مختلطًا أو يرقّي المحتوى المختلط السلبي تلقائيًا، يسجّل رسائل تفصيلية في علامة التبويب المشاكل ضمن "أدوات مطوّري البرامج" لإرشادك بشأن حلّ مشكلتك المحدّدة.

تعرض علامة التبويب "المشاكل" في "أدوات مطوّري البرامج في Chrome" معلومات تفصيلية حول مشكلة المحتوى المختلط المحدّدة وكيفية حلّها
يتم إدراج كل مورد غير آمن في "أدوات مطوّري البرامج"، بالإضافة إلى حالة القيود.

محتوى مختلط نشط

يشكّل المحتوى المختلط النشط تهديدًا أكبر من المحتوى المختلط غير النشط. يمكن للمهاجم اعتراض المحتوى النشط وإعادة كتابته، واستخدامه للتحكّم بشكل كامل في صفحتك أو حتى في موقعك الإلكتروني بأكمله. ويتيح ذلك للمهاجمين تغيير أي جانب من جوانب الصفحة، بما في ذلك عرض محتوى مختلف أو سرقة كلمات مرور المستخدمين أو غيرها من بيانات اعتماد تسجيل الدخول أو سرقة ملفات تعريف الارتباط الخاصة بجلسة المستخدم أو إعادة توجيه المستخدم إلى موقع إلكتروني مختلف تمامًا.

نظرًا إلى المخاطر الكبيرة التي ينطوي عليها المحتوى المختلط النشط، تحظر معظم المتصفحات هذا النوع من المحتوى تلقائيًا لحماية المستخدمين، ولكن يختلف السلوك بين مورّدي المتصفحات وإصداراتها.

يعرض هذا العرض التوضيحي أمثلة على المحتوى النشط المختلط. حمِّل المثال عبر HTTP للاطّلاع على المحتوى المحظور عند تحميل المثال عبر HTTPS. يمكنك أيضًا الاطّلاع على تفاصيل حول المحتوى المحظور في علامة التبويب المشاكل في "أدوات مطوّري البرامج".

تعرض علامة التبويب "المشاكل" في "أدوات مطوّري البرامج في Chrome" معلومات تفصيلية حول مشكلة المحتوى المختلط المحدّدة وكيفية حلّها
يتم حظر بعض الموارد غير الآمنة لتعزيز أمان موقعك الإلكتروني.

مواصفات المحتوى المختلط

تتّبع المتصفحات مواصفات المحتوى المختلط، التي تحدّد فئتَي المحتوى القابل للحظر بشكل اختياري والمحتوى القابل للحظر.

يُصنّف المورد على أنّه محتوى مختلط يمكن حظره اختياريًا "عندما تفوق مخاطر السماح باستخدامه كمحتوى مختلط مخاطر تعطيل أجزاء كبيرة من الويب". وهو مجموعة فرعية من المحتوى المختلط السلبي.

يُعدّ كل المحتوى المختلط الذي لا يمكن حجبه اختياريًا قابلاً للحجب، ويجب أن يحجبه المتصفّح.

في السنوات الأخيرة، ارتفع معدّل استخدام بروتوكول HTTPS بشكل كبير، وأصبح البروتوكول التلقائي الواضح على الويب. وهذا يجعل من الممكن الآن أن تحظر المتصفّحات كل المحتوى المختلط، حتى أنواع الموارد الفرعية المحدّدة في مواصفات المحتوى المختلط على أنّها قابلة للحظر اختياريًا.

المتصفّحات القديمة

قد يستخدم بعض الزوّار متصفّحات قديمة. تتعامل إصدارات المتصفحات المختلفة من المورّدين المختلفين مع المحتوى المختلط بشكل مختلف. في أسوأ الحالات، لا تحظر المتصفحات والإصدارات القديمة أي محتوى مختلط على الإطلاق، ما يشكّل خطرًا على المستخدم.

من خلال تحميل جميع الموارد بشكل آمن وحلّ مشاكل المحتوى المختلط، يمكنك ضمان ظهور المحتوى وحماية المستخدمين من المحتوى الخطير الذي قد لا تحظره المتصفحات القديمة.