Strona zawiera treści mieszane, gdy jej początkowy kod HTML jest wczytywany przez bezpieczne połączenie HTTPS, ale inne zasoby (np. obrazy, filmy, arkusze stylów i skrypty) są wczytywane przez niezabezpieczone połączenie HTTP. Nazwa odnosi się do mieszanki treści HTTP i HTTPS na jednej stronie.
Żądanie zasobów podrzędnych przy użyciu niezabezpieczonego protokołu HTTP osłabia bezpieczeństwo strony, ponieważ żądania te są podatne na ataki typu „man-in-the-middle”, w których atakujący podsłuchuje połączenie sieciowe i wyświetla lub modyfikuje komunikację między dwiema stronami. Korzystając z tych zasobów, atakujący mogą śledzić użytkowników i zastępować treści w witrynie. W przypadku aktywnej zawartości mieszanej mogą przejąć pełną kontrolę nad stroną, a nie tylko nad niezabezpieczonymi zasobami.
Chociaż wiele przeglądarek wyświetla użytkownikowi ostrzeżenia o treściach mieszanych, często jest to zbyt późno: niezabezpieczone żądania zostały już wykonane, a bezpieczeństwo strony jest zagrożone.
Większość przeglądarek blokuje obecnie treści mieszane ze względów bezpieczeństwa. Zmieniaj żądania dotyczące niebezpiecznych treści na żądania dotyczące bezpiecznych treści, aby mieć pewność, że strona będzie się nadal prawidłowo wczytywać.
2 rodzaje treści mieszanych
Istnieją 2 rodzaje treści mieszanych: aktywne i pasywne.
Pasywna treść mieszana, w tym obrazy, filmy i dźwięk, nie wchodzi w interakcję z pozostałą częścią strony, więc atak typu „man-in-the-middle” ma ograniczone możliwości, jeśli przechwyci lub zmieni tę treść.
Aktywna treść mieszana wchodzi w interakcję z całą stroną. Obejmuje to skrypty, arkusze stylów, elementy iframe i inne kody, które przeglądarka może pobrać i wykonać. Ataki na aktywną treść mieszaną pozwalają atakującemu zrobić ze stroną niemal wszystko.
Pasywna treść mieszana
Pasywne treści mieszane są mniej ryzykowne niż aktywne treści mieszane, ale ryzyko nadal istnieje. Na przykład atakujący może:
- Przechwytywanie żądań HTTP dotyczących obrazów w witrynie i zamienianie lub zastępowanie tych obrazów.
- Zastąp obrazy na przyciskach, aby użytkownicy się pomylili i np. usunęli treści, które chcieli zapisać.
- zniekształcić witrynę, zastępując obrazy treściami pornograficznymi;
- Zastąp zdjęcia produktów reklamami innych produktów.
Nawet jeśli atakujący nie zmieni treści witryny, może śledzić użytkowników za pomocą żądań dotyczących treści mieszanych. Mogą też określać, które strony odwiedza użytkownik i które produkty wyświetla, na podstawie obrazów lub innych zasobów, które wczytuje przeglądarka.
Jeśli występują pasywne treści mieszane, większość przeglądarek informuje na pasku adresu, że strona nie jest bezpieczna, nawet jeśli sama strona jest wczytywana przez HTTPS. Możesz zobaczyć to działanie w tym demo.
Do niedawna pasywna zawartość z różnymi ustawieniami SSL była ładowana we wszystkich przeglądarkach, ponieważ jej blokowanie powodowałoby nieprawidłowe działanie wielu witryn. To się jednak zmienia, dlatego musisz zaktualizować wszystkie wystąpienia zawartości mieszanej w swojej witrynie.
W niektórych przypadkach Chrome automatycznie uaktualnia pasywną treść mieszaną. Oznacza to, że jeśli zasób został zakodowany na stałe jako HTTP, ale jest dostępny przez HTTPS, przeglądarka wczyta wersję HTTPS. Jeśli nie ma bezpiecznej wersji, komponent się nie wczyta.
Gdy Chrome wykryje treść mieszaną lub automatycznie uaktualni pasywną treść mieszaną, zapisuje szczegółowe komunikaty na karcie Problemy w Narzędziach deweloperskich, aby pomóc Ci rozwiązać konkretny problem.
Aktywna treść mieszana
Aktywne treści mieszane stanowią większe zagrożenie niż pasywne treści mieszane. Osoba przeprowadzająca atak może przechwycić i przepisać aktywną treść, aby przejąć pełną kontrolę nad Twoją stroną lub nawet całą witryną. Dzięki temu mogą zmieniać dowolny aspekt strony, w tym wyświetlać inne treści, kraść hasła użytkowników lub inne dane logowania, kraść pliki cookie sesji użytkowników lub przekierowywać użytkowników do zupełnie innej witryny.
Ryzyko związane z aktywną treścią mieszaną jest bardzo wysokie, dlatego większość przeglądarek domyślnie blokuje ten typ treści, aby chronić użytkowników. Jednak zachowanie przeglądarek różni się w zależności od dostawcy i wersji.
Ta demonstracja pokazuje przykłady aktywnej zawartości mieszanej. Załaduj przykład przez HTTP, aby zobaczyć treści, które są blokowane, gdy załadujesz przykład przez HTTPS. Zablokowane treści są też szczegółowo opisane na karcie Problemy w Narzędziach deweloperskich.
Specyfikacja treści mieszanej
Przeglądarki są zgodne ze specyfikacją dotyczącą treści mieszanych, która definiuje kategorie treści, które można opcjonalnie blokować i treści, które można blokować.
Zasób kwalifikuje się jako treść, którą można opcjonalnie blokować, „gdy ryzyko zezwolenia na jego użycie jako treści mieszanych jest mniejsze niż ryzyko uszkodzenia znacznej części internetu”. Jest to podzbiór pasywnych treści mieszanych.
Wszystkie treści mieszane, które nie są opcjonalnie blokowane, są uznawane za blokowane i powinny być blokowane przez przeglądarkę.
W ostatnich latach wykorzystanie protokołu HTTPS znacznie wzrosło i stał się on domyślnym protokołem w internecie. Dzięki temu przeglądarki mogą teraz rozważyć blokowanie wszystkich treści mieszanych, nawet tych typów zasobów podrzędnych, które w specyfikacji treści mieszanych są zdefiniowane jako opcjonalnie blokowane.
Starsze przeglądarki
Niektórzy odwiedzający mogą używać starszych przeglądarek. Różne wersje przeglądarek różnych dostawców różnie traktują treści mieszane. W najgorszym przypadku starsze przeglądarki i wersje w ogóle nie blokują treści mieszanych, co jest niebezpieczne dla użytkownika.
Dzięki bezpiecznemu ładowaniu wszystkich zasobów i rozwiązaniu problemów z treściami mieszanymi masz pewność, że Twoje treści są widoczne, a użytkownicy są chronieni przed niebezpiecznymi treściami, których starsze przeglądarki mogą nie blokować.