เนื้อหาผสมคืออะไร

หน้าเว็บมีเนื้อหาผสมเมื่อมีการโหลด HTML เริ่มต้นผ่านการเชื่อมต่อ HTTPS ที่ปลอดภัย แต่ทรัพยากรอื่นๆ (เช่น รูปภาพ วิดีโอ สไตล์ชีต และสคริปต์) โหลดผ่านการเชื่อมต่อ HTTP ที่ไม่ปลอดภัย ชื่อหมายถึงการผสมผสานเนื้อหา HTTP และ HTTPS ในหน้าเดียว

การขอทรัพยากรย่อยโดยใช้โปรโตคอล HTTP ที่ไม่ปลอดภัยจะลดความปลอดภัยของหน้าเว็บ เนื่องจากคำขอเหล่านี้เสี่ยงต่อการโจมตีบนเส้นทาง ซึ่งผู้โจมตีจะดักฟังการเชื่อมต่อเครือข่ายและดูหรือแก้ไขการสื่อสารระหว่าง 2 ฝ่าย ด้วยการใช้ทรัพยากรเหล่านี้ ผู้โจมตีสามารถติดตามผู้ใช้และแทนที่เนื้อหาในเว็บไซต์ได้ และในกรณีที่มีเนื้อหาผสมที่มีการใช้งาน ผู้โจมตีจะสามารถควบคุมหน้าได้อย่างสมบูรณ์ ไม่ใช่แค่ทรัพยากรที่ไม่ปลอดภัย

แม้ว่าเบราว์เซอร์จำนวนมากจะรายงานคำเตือนเนื้อหาผสมให้ผู้ใช้ทราบ แต่รายงานก็มักจะสายเกินไป กล่าวคือ มีการส่งคำขอที่ไม่ปลอดภัยไปแล้ว ทำให้หน้าเว็บถูกบุกรุก

ตอนนี้เบราว์เซอร์ส่วนใหญ่บล็อกเนื้อหาผสมเพื่อความปลอดภัย เปลี่ยนคำขอเนื้อหาที่ไม่ปลอดภัยให้เป็นเนื้อหาที่ปลอดภัยเพื่อให้หน้าเว็บโหลดได้อย่างถูกต้อง

เนื้อหาผสม 2 ประเภท

เนื้อหาผสมมี 2 ประเภท ได้แก่ แอ็กทีฟและแพสซีฟ

เนื้อหาผสมแบบแพสซีฟ ซึ่งรวมถึงรูปภาพ วิดีโอ และเสียง จะไม่โต้ตอบกับส่วนที่เหลือของหน้า ดังนั้นการโจมตีแบบแทรกกลางการสื่อสารจึงถูกจำกัดว่าจะทำอย่างไรหากเป็นการสกัดกั้นหรือเปลี่ยนแปลงเนื้อหาดังกล่าว

เนื้อหาผสมที่ใช้งานอยู่จะโต้ตอบกับหน้าเว็บโดยรวม ซึ่งรวมถึงสคริปต์, สไตล์ชีต, iframe และโค้ดอื่นๆ ที่เบราว์เซอร์สามารถดาวน์โหลดและเรียกใช้ได้ การโจมตีเนื้อหาผสมที่มีการใช้งานทำให้ผู้โจมตีทำได้เกือบทุกสิ่งในหน้า

เนื้อหาผสมแบบแพสซีฟ

เนื้อหาผสมแบบแพสซีฟมีความเสี่ยงน้อยกว่าเนื้อหาผสมที่มีการใช้งาน แต่มีความเสี่ยงยังคงอยู่ ตัวอย่างเช่น ผู้โจมตีสามารถทำสิ่งต่อไปนี้

  • สกัดกั้นคำขอ HTTP สำหรับรูปภาพในเว็บไซต์และเปลี่ยนหรือแทนที่รูปภาพเหล่านั้น
  • แทนที่รูปภาพบนปุ่มเพื่อให้ผู้ใช้สับสน เช่น ลบเนื้อหาที่ต้องการบันทึก
  • ทำให้เว็บไซต์เสียหายโดยการแทนที่รูปภาพด้วยเนื้อหาลามกอนาจาร
  • แทนที่รูปภาพผลิตภัณฑ์ด้วยโฆษณาอย่างอื่น

แม้ว่าผู้โจมตีจะไม่ได้เปลี่ยนแปลงเนื้อหาของเว็บไซต์ แต่ผู้โจมตีจะติดตามผู้ใช้ผ่านคำขอเนื้อหาแบบผสมได้ อีกทั้งยังบอกได้ด้วยว่าผู้ใช้เข้าชมหน้าใดและผลิตภัณฑ์ใดโดยดูจากรูปภาพหรือแหล่งข้อมูลอื่นๆ ที่เบราว์เซอร์โหลด

หากมีเนื้อหาผสมแบบแพสซีฟ เบราว์เซอร์ส่วนใหญ่จะระบุในแถบที่อยู่ว่าหน้าเว็บไม่ปลอดภัย แม้ว่าหน้าเว็บจะโหลดผ่าน HTTPS ก็ตาม คุณสังเกตพฤติกรรมนี้ได้ในการสาธิตนี้

ที่ผ่านมา เนื้อหาผสมแบบแพสซีฟมีการโหลดในทุกเบราว์เซอร์ เพราะการบล็อกจะทำให้เว็บไซต์หลายแห่งเสียหาย ตอนนี้เริ่มเปลี่ยนแปลงไปแล้ว การอัปเดตอินสแตนซ์ของเนื้อหาผสมในเว็บไซต์จึงเป็นสิ่งสำคัญ

ในบางกรณี Chrome จะอัปเกรดเนื้อหาผสมแบบแพสซีฟโดยอัตโนมัติ ซึ่งหมายความว่าหากเนื้อหามีการฮาร์ดโค้ดเป็น HTTP แต่ใช้ได้ผ่าน HTTPS เบราว์เซอร์จะโหลดเวอร์ชัน HTTPS หากไม่มีเวอร์ชันที่ปลอดภัย ชิ้นงานจะไม่โหลด

เมื่อใดก็ตามที่ Chrome ตรวจพบเนื้อหาผสมหรืออัปเกรดเนื้อหาผสมแบบแพสซีฟโดยอัตโนมัติ Chrome จะบันทึกข้อความโดยละเอียดไปยังแท็บปัญหาในเครื่องมือสำหรับนักพัฒนาเว็บเพื่อแนะนำวิธีแก้ปัญหาเฉพาะของคุณ

แท็บปัญหาในเครื่องมือสำหรับนักพัฒนาเว็บใน Chrome แสดงข้อมูลโดยละเอียดเกี่ยวกับปัญหาเนื้อหาผสมที่เฉพาะเจาะจงและวิธีแก้ไข
ทรัพยากรที่ไม่ปลอดภัยแต่ละรายการจะปรากฏในเครื่องมือสำหรับนักพัฒนาเว็บ พร้อมกับสถานะข้อจำกัด

เนื้อหาผสมที่ใช้งานอยู่

เนื้อหาผสมที่มีการใช้งานก่อให้เกิดภัยคุกคามมากกว่าเนื้อหาผสมแบบแพสซีฟ ผู้โจมตีสามารถสกัดกั้นและเขียนเนื้อหาที่ใช้งานอยู่ใหม่ โดยใช้เพื่อควบคุมหน้าเว็บของคุณหรือแม้แต่ทั้งเว็บไซต์ ซึ่งทำให้พวกเขาเปลี่ยนแปลงแง่มุมต่างๆ ของหน้าเว็บได้ ซึ่งรวมถึงการแสดงเนื้อหาอื่น การขโมยรหัสผ่านของผู้ใช้หรือข้อมูลรับรองการเข้าสู่ระบบอื่นๆ การขโมยคุกกี้เซสชันของผู้ใช้ หรือการเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์อื่นโดยสิ้นเชิง

เนื่องจากความเสี่ยงในการใช้เนื้อหาผสมที่มีการใช้งานนั้นสูงมาก เบราว์เซอร์ส่วนใหญ่จึงบล็อกเนื้อหาประเภทนี้โดยค่าเริ่มต้นเพื่อปกป้องผู้ใช้ แต่ลักษณะการทำงานจะแตกต่างกันระหว่างผู้ให้บริการเบราว์เซอร์และเวอร์ชันต่างๆ

การสาธิตนี้แสดงตัวอย่างเนื้อหาผสมที่ใช้งานอยู่ โหลดตัวอย่างผ่าน HTTP เพื่อดูเนื้อหาที่ถูกบล็อกเมื่อคุณโหลดตัวอย่างผ่าน HTTPS และดูรายละเอียดเนื้อหาที่ถูกบล็อกได้ในแท็บปัญหาในเครื่องมือสำหรับนักพัฒนาเว็บ

แท็บปัญหาในเครื่องมือสำหรับนักพัฒนาเว็บใน Chrome แสดงข้อมูลโดยละเอียดเกี่ยวกับปัญหาเนื้อหาผสมที่เฉพาะเจาะจงและวิธีแก้ไข
ระบบจะบล็อกทรัพยากรที่ไม่ปลอดภัยบางรายการเพื่อเสริมความปลอดภัยให้กับเว็บไซต์

ข้อกำหนดด้านเนื้อหาผสม

เบราว์เซอร์เป็นไปตามข้อกำหนดของเนื้อหาผสม ซึ่งกำหนดหมวดหมู่เนื้อหาที่บล็อกได้และเนื้อหาที่บล็อกได้

ทรัพยากรจัดว่าเป็นเนื้อหาที่บล็อกได้ (เลือกได้) "เมื่อความเสี่ยงในการอนุญาตให้ใช้งานเนื่องจากเนื้อหาผสมมีน้ำหนักมากเกินไปจากความเสี่ยงที่เนื้อหาส่วนใหญ่ในเว็บไซต์จะหยุดชะงัก" นี่เป็นชุดย่อยของเนื้อหาผสมแบบแพสซีฟ

เนื้อหาผสมทั้งหมดที่เลือกบล็อกไม่ได้จะถือว่าบล็อกได้และควรถูกบล็อกโดยเบราว์เซอร์

ในช่วงไม่กี่ปีที่ผ่านมา การใช้ HTTPS ได้เพิ่มขึ้นอย่างรวดเร็วและกลายเป็นค่าเริ่มต้นที่ชัดเจนบนเว็บ ซึ่งทำให้เบราว์เซอร์พิจารณาบล็อกเนื้อหาผสมทั้งหมดได้ง่ายขึ้น แม้กระทั่งประเภททรัพยากรย่อยที่ระบุไว้ในข้อกำหนดของเนื้อหาผสมว่าบล็อกได้

เบราว์เซอร์รุ่นเก่า

ผู้เข้าชมบางรายอาจใช้เบราว์เซอร์รุ่นเก่า เบราว์เซอร์แต่ละเวอร์ชันจากผู้ให้บริการที่ต่างกัน จัดการเนื้อหาผสมแตกต่างกัน อย่างแย่ที่สุด เบราว์เซอร์และเวอร์ชันเก่าจะไม่บล็อกเนื้อหาผสมใดๆ เลยซึ่งเป็นอันตรายต่อผู้ใช้

การโหลดทรัพยากรทั้งหมดอย่างปลอดภัยและแก้ไขปัญหาเนื้อหาผสมจะทำให้มั่นใจได้ว่าเนื้อหาของคุณจะมองเห็นและปกป้องผู้ใช้จากเนื้อหาที่เป็นอันตรายซึ่งเบราว์เซอร์รุ่นเก่าอาจไม่บล็อก