একটি পৃষ্ঠার প্রাথমিক HTML একটি সুরক্ষিত HTTPS সংযোগের মাধ্যমে লোড হলে মিশ্র বিষয়বস্তু থাকে, তবে অন্যান্য সংস্থানগুলি (যেমন চিত্র, ভিডিও, স্টাইলশীট এবং স্ক্রিপ্ট) একটি অনিরাপদ HTTP সংযোগের মাধ্যমে লোড হয়৷ নামটি একটি একক পৃষ্ঠায় HTTP এবং HTTPS সামগ্রীর মিশ্রণকে বোঝায়।
অনিরাপদ এইচটিটিপি প্রোটোকল ব্যবহার করে সাবরিসোর্সগুলির অনুরোধ করা পৃষ্ঠার নিরাপত্তাকে দুর্বল করে, কারণ এই অনুরোধগুলি অন-পাথ আক্রমণের জন্য ঝুঁকিপূর্ণ, যেখানে একজন আক্রমণকারী একটি নেটওয়ার্ক সংযোগে লুকিয়ে পড়ে এবং দুটি পক্ষের মধ্যে যোগাযোগ দেখে বা পরিবর্তন করে। এই সংস্থানগুলি ব্যবহার করে, আক্রমণকারীরা ব্যবহারকারীদের ট্র্যাক করতে পারে এবং একটি ওয়েবসাইটের বিষয়বস্তু প্রতিস্থাপন করতে পারে এবং সক্রিয় মিশ্র সামগ্রীর ক্ষেত্রে, তারা শুধুমাত্র অনিরাপদ সংস্থানগুলির উপর নয়, পৃষ্ঠার উপর সম্পূর্ণ নিয়ন্ত্রণ নিতে পারে।
যদিও অনেক ব্রাউজার ব্যবহারকারীকে মিশ্র বিষয়বস্তুর সতর্কতা প্রতিবেদন করে, প্রতিবেদনটি প্রায়শই অনেক দেরি করে: অনিরাপদ অনুরোধগুলি ইতিমধ্যেই সম্পাদিত হয়েছে এবং পৃষ্ঠার নিরাপত্তার সাথে আপোস করা হয়েছে।
বেশিরভাগ ব্রাউজার এখন নিরাপত্তার কারণে মিশ্র সামগ্রী ব্লক করে। আপনার পৃষ্ঠা সঠিকভাবে লোড হচ্ছে তা নিশ্চিত করতে সামগ্রী সুরক্ষিত করতে অনিরাপদ সামগ্রীর অনুরোধগুলি পরিবর্তন করুন৷
দুই ধরনের মিশ্র বিষয়বস্তু
দুটি ধরণের মিশ্র বিষয়বস্তু রয়েছে: সক্রিয় এবং প্যাসিভ।
প্যাসিভ মিশ্র বিষয়বস্তু , ছবি, ভিডিও এবং অডিও সহ, পৃষ্ঠার বাকি অংশের সাথে ইন্টারঅ্যাক্ট করে না, তাই একটি ম্যান-ইন-দ্য-মিডল অ্যাটাক সীমাবদ্ধ থাকে যদি এটি সেই বিষয়বস্তুকে বাধা দেয় বা পরিবর্তন করে তাহলে এটি কী করতে পারে।
সক্রিয় মিশ্র সামগ্রী সমগ্র পৃষ্ঠার সাথে ইন্টারঅ্যাক্ট করে। এর মধ্যে রয়েছে স্ক্রিপ্ট, স্টাইলশীট, আইফ্রেম এবং ব্রাউজার ডাউনলোড এবং চালাতে পারে এমন অন্য কোনো কোড। সক্রিয় মিশ্র বিষয়বস্তুর উপর আক্রমণ একজন আক্রমণকারীকে পৃষ্ঠায় প্রায় সবকিছু করতে দেয়।
প্যাসিভ মিশ্র বিষয়বস্তু
নিষ্ক্রিয় মিশ্র সামগ্রী সক্রিয় মিশ্র বিষয়বস্তুর তুলনায় কম ঝুঁকিপূর্ণ, কিন্তু সেই ঝুঁকি এখনও আছে। উদাহরণস্বরূপ, একজন আক্রমণকারী করতে পারে:
- আপনার সাইটে চিত্রগুলির জন্য HTTP অনুরোধগুলি আটকান এবং সেই চিত্রগুলিকে অদলবদল করুন বা প্রতিস্থাপন করুন৷
- বোতামগুলিতে চিত্রগুলি প্রতিস্থাপন করুন যাতে ব্যবহারকারীরা তাদের বিভ্রান্ত করে এবং উদাহরণস্বরূপ, তারা সংরক্ষণ করতে চান এমন সামগ্রী মুছুন৷
- অশ্লীল বিষয়বস্তু দিয়ে আপনার ছবি প্রতিস্থাপন করে আপনার সাইট বিকৃত করুন.
- অন্য কিছুর জন্য বিজ্ঞাপন দিয়ে আপনার পণ্যের ছবি প্রতিস্থাপন করুন।
আক্রমণকারী আপনার সাইটের বিষয়বস্তু পরিবর্তন না করলেও, তারা মিশ্র সামগ্রীর অনুরোধের মাধ্যমে ব্যবহারকারীদের ট্র্যাক করতে পারে। ব্রাউজার লোড করা ছবি বা অন্যান্য সংস্থানগুলির উপর ভিত্তি করে কোন ব্যবহারকারী কোন পৃষ্ঠাগুলি পরিদর্শন করে এবং কোন পণ্যগুলি তারা দেখে তাও তারা বলতে পারে৷
যদি প্যাসিভ মিশ্র বিষয়বস্তু উপস্থিত থাকে, তবে বেশিরভাগ ব্রাউজার ঠিকানা বারে নির্দেশ করে যে পৃষ্ঠাটি সুরক্ষিত নয়, এমনকি যখন পৃষ্ঠাটি নিজেই HTTPS-এ লোড হয়। আপনি এই ডেমোতে এই আচরণটি পর্যবেক্ষণ করতে পারেন।
সম্প্রতি অবধি, প্যাসিভ মিশ্র সামগ্রী সমস্ত ব্রাউজারে লোড করা হয়েছিল, কারণ এটি ব্লক করলে অনেক ওয়েবসাইট ভেঙে যেত। এটি এখন পরিবর্তিত হতে শুরু করেছে, তাই আপনার সাইটে মিশ্র বিষয়বস্তুর যেকোনো ঘটনা আপডেট করা অত্যাবশ্যক।
কিছু ক্ষেত্রে, Chrome স্বয়ংক্রিয়ভাবে প্যাসিভ মিশ্র সামগ্রী আপগ্রেড করে । এর মানে হল যে যদি কোনো সম্পদ HTTP হিসেবে হার্ড-কোড করা থাকে কিন্তু HTTPS-এ উপলব্ধ থাকে, তাহলে ব্রাউজার HTTPS সংস্করণ লোড করে। কোনো সুরক্ষিত সংস্করণ না থাকলে, সম্পদ লোড হয় না।
যখনই Chrome মিশ্র সামগ্রী শনাক্ত করে বা প্যাসিভ মিশ্র সামগ্রী স্বয়ংক্রিয়ভাবে আপগ্রেড করে, তখন এটি আপনার নির্দিষ্ট সমস্যা সমাধানের বিষয়ে পরামর্শ দেওয়ার জন্য DevTools-এর সমস্যা ট্যাবে বিস্তারিত বার্তা লগ করে।
সক্রিয় মিশ্র বিষয়বস্তু
অ্যাক্টিভ মিশ্র কন্টেন্ট প্যাসিভ মিশ্র কন্টেন্টের চেয়ে বড় হুমকি। একজন আক্রমণকারী আপনার পৃষ্ঠা বা এমনকি আপনার সম্পূর্ণ ওয়েবসাইটের সম্পূর্ণ নিয়ন্ত্রণ নিতে এটি ব্যবহার করে সক্রিয় সামগ্রীকে আটকাতে এবং পুনরায় লিখতে পারে। এটি তাদের বিভিন্ন বিষয়বস্তু প্রদর্শন, ব্যবহারকারীর পাসওয়ার্ড বা অন্যান্য লগইন শংসাপত্র চুরি করা, ব্যবহারকারীর সেশন কুকিজ চুরি করা, বা ব্যবহারকারীকে সম্পূর্ণরূপে একটি ভিন্ন সাইটে পুনঃনির্দেশিত করা সহ পৃষ্ঠার যেকোনো দিক পরিবর্তন করতে দেয়৷
যেহেতু সক্রিয় মিশ্র বিষয়বস্তুর ঝুঁকি অনেক বেশি, বেশিরভাগ ব্রাউজার ইতিমধ্যেই ব্যবহারকারীদের সুরক্ষার জন্য ডিফল্টভাবে এই ধরনের সামগ্রী ব্লক করে, কিন্তু আচরণ ব্রাউজার বিক্রেতা এবং সংস্করণগুলির মধ্যে পরিবর্তিত হয়।
এই ডেমো সক্রিয় মিশ্র সামগ্রীর উদাহরণ দেখায়। আপনি HTTPS-এ উদাহরণ লোড করার সময় ব্লক করা বিষয়বস্তু দেখতে HTTP-তে উদাহরণ লোড করুন । DevTools-এর ইস্যু ট্যাবে ব্লক করা কন্টেন্টের বিস্তারিত বিবরণ দেওয়া আছে।
মিশ্র বিষয়বস্তু স্পেসিফিকেশন
ব্রাউজারগুলি মিশ্র বিষয়বস্তুর স্পেসিফিকেশন অনুসরণ করে, যা ঐচ্ছিকভাবে ব্লকযোগ্য বিষয়বস্তু এবং ব্লকযোগ্য বিষয়বস্তু বিভাগগুলিকে সংজ্ঞায়িত করে।
একটি সম্পদ ঐচ্ছিকভাবে ব্লকযোগ্য বিষয়বস্তু হিসাবে যোগ্যতা অর্জন করে "যখন মিশ্র বিষয়বস্তু হিসাবে এর ব্যবহারের অনুমতি দেওয়ার ঝুঁকি ওয়েবের উল্লেখযোগ্য অংশ ভাঙ্গার ঝুঁকির চেয়ে বেশি হয়"। এটি প্যাসিভ মিশ্র সামগ্রীর একটি উপসেট।
ঐচ্ছিকভাবে ব্লক করা যায় না এমন সমস্ত মিশ্র সামগ্রী ব্লকযোগ্য বলে বিবেচিত হয় এবং ব্রাউজার দ্বারা ব্লক করা উচিত।
সাম্প্রতিক বছরগুলিতে, HTTPS ব্যবহার নাটকীয়ভাবে বেড়েছে এবং এটি ওয়েবে স্পষ্ট ডিফল্ট হয়ে উঠেছে। এটি এখন ব্রাউজারদের জন্য সমস্ত মিশ্র বিষয়বস্তু ব্লক করা বিবেচনা করা আরও সম্ভবপর করে তোলে, এমনকি মিশ্র সামগ্রীর স্পেসিফিকেশনে ঐচ্ছিকভাবে ব্লকযোগ্য হিসাবে সংজ্ঞায়িত সেই সাবরিসোর্স প্রকারগুলিও।
পুরানো ব্রাউজার
কিছু দর্শক পুরানো ব্রাউজার ব্যবহার করতে পারে. বিভিন্ন বিক্রেতার বিভিন্ন ব্রাউজার সংস্করণ মিশ্র বিষয়বস্তুকে ভিন্নভাবে ব্যবহার করে। সবচেয়ে খারাপভাবে, পুরানো ব্রাউজার এবং সংস্করণগুলি কোনও মিশ্র সামগ্রীকে ব্লক করে না, যা ব্যবহারকারীর জন্য অনিরাপদ৷
আপনার সমস্ত সংস্থান সুরক্ষিতভাবে লোড করে এবং আপনার মিশ্র বিষয়বস্তুর সমস্যাগুলি সমাধান করে, আপনি নিশ্চিত করেন যে আপনার সামগ্রী দৃশ্যমান এবং ব্যবহারকারীদের বিপজ্জনক সামগ্রী থেকে রক্ষা করে যা পুরানো ব্রাউজারগুলি ব্লক নাও করতে পারে৷