Существует два типа смешанного контента: один хуже другого, но ни один из них не является хорошим. Предупреждения о смешанном содержании указывают на то, что что-то не так с веб-страницей, которую вы посещаете.
Что такое смешанный контент?
Все это сводится к разнице между HTTP и HTTPS. HTTP является наиболее часто используемым типом подключения - при посещении веб-сайта с использованием протокола HTTP ваше соединение с сайтом не защищено. Любой, кто подслушивает трафик, может видеть просматриваемую страницу и любые данные, которые вы отправляете туда и обратно.
Вот почему у нас есть HTTPS, который буквально «HTTP Secure». HTTPS создает безопасное соединение между вами и веб-сервером. Соединение зашифровано и аутентифицировано, поэтому никто не может отслеживать ваш трафик, и у вас есть уверенность, что вы подключены к правильному веб-сайту. Это чрезвычайно важно для защиты паролей учетных записей и данных онлайн-платежей, чтобы никто не мог их подслушивать.
Предупреждения о смешанном содержании указывают на проблему с веб-страницей, к которой вы обращаетесь через HTTPS. Соединение HTTPS должно быть безопасным, но исходный код веб-страницы тянет другие ресурсы с помощью небезопасного HTTP-протокола, а не HTTPS. В адресной строке вашего веб-браузера будет указано, что вы подключены к HTTPS, но страница также загружает ресурсы с небезопасным протоколом HTTP в фоновом режиме. Чтобы вы знали, что используемая вами веб-страница не полностью защищена, в браузерах отображается предупреждение о том, что на странице есть как HTTPS, так и HTTP-контент - иными словами, смешанный контент.
Почему это опасно
Вот почему это на самом деле опасно. Предположим, вы на платежной странице, и вы собираетесь ввести свой номер кредитной карты. На странице оплаты указано, что это зашифрованное HTTPS-соединение, но вы видите предупреждение о смешанном содержании. Это должно поднять красный флаг. Возможно, что данные о платежах, которые вы вводите, могут быть захвачены небезопасным контентом и отправлены по небезопасному соединению, что устраняет преимущества безопасности HTTPS - кто-то может подслушивать и просматривать ваши конфиденциальные данные.
Поскольку HTTP не аутентифицирует веб-сервер так же, как HTTPS, возможно, что безопасный HTTPS-сайт, натягивающий скрипт с HTTP-сайта, может быть обманут, чтобы вытащить скрипт злоумышленника и запустить его на защищенном в противном случае сайте. Когда используется HTTPS, у вас есть больше гарантий того, что контент не был подделан и является законным.
В обоих случаях это исключает возможность использования безопасного HTTPS-соединения. Возможно, на веб-сайте может быть предупреждение о ненадежном содержании и по-прежнему безопасно хранить ваши личные данные, но мы действительно не знаем точно и не должны рисковать - поэтому веб-браузеры предупреждают вас, когда вы сталкиваетесь с веб-сайтом, который не является правильно закодировано.
Смешанный активный контент против смешанного пассивного контента
На самом деле существует два типа смешанного контента. Более опасным является «смешанный активный контент» или «смешанный скриптинг». Это происходит, когда сайт HTTPS загружает файл сценария через HTTP. Файл сценария может запускать любой код на странице, которую он хочет, поэтому загрузка скрипта по небезопасному соединению полностью разрушает безопасность текущей страницы. Веб-браузеры обычно полностью блокируют этот тип смешанного контента.
Второй тип - «смешанный пассивный контент» или «смешанный контент отображения». Это происходит, когда сайт HTTPS загружает что-то вроде изображения или аудиофайла по HTTP-соединению. Этот тип контента не может разрушить безопасность страницы таким же образом, поэтому веб-браузеры не реагируют так резко. Тем не менее, это по-прежнему плохая практика безопасности, которая может вызвать проблемы. Например, злоумышленник может заменить изображение на обманчивое изображение, нарушая теоретически безопасную страницу. Запрос загрузки изображения также содержит заголовки, содержащие информацию cookie, связанную с веб-сайтом, поэтому даже загрузка изображения по небезопасному соединению может вызвать проблемы. Веб-браузеры часто отображают предупреждающий значок или сообщение, а не полностью блокируют контент, так как этот смешанный контент по-прежнему так распространен на реальных веб-сайтах. В Chrome вы увидите висячий замок с желтым треугольником.
Что делать, когда вы видите предупреждение о смешанном содержании
Веб-браузеры обычно блокируют наиболее опасные типы смешанного контента по умолчанию. Не разблокируйте его. Если вы не можете войти на веб-сайт или ввести данные онлайн-оплаты без загрузки смешанного контента, вы должны просто покинуть веб-сайт и не вводить свою информацию на небезопасный веб-сайт. Пусть владельцы веб-сайтов знают, что их сайт небезопасен и поврежден.
Если вы видите предупреждение о том, что страница содержит другие ресурсы, которые могут быть небезопасными, вероятно, безопасно войти в систему. Это не хороший признак, если у такого веб-сайта, как у вашего банка, есть эта проблема, но этот тип предупреждения о смешанном содержании очень распространен.
С другой стороны, предупреждения смешанного контента не очень важны, если вы обращаетесь к веб-сайту, которому не нужен HTTPS.Все средства предупреждения о смешанном содержании - это то, что веб-страница гарантировала преимущества безопасности HTTPS - другими словами, в худшем случае веб-страница, которую вы посещаете, небезопасна, как стандартный HTTP-сайт. Итак, если вы обращались к веб-сайту, например, в Википедии, просто чтобы прочитать некоторые статьи, и вы видели предупреждение о смешанном содержании, вам не стоит слишком беспокоиться об этом. В худшем случае это так же неуверенно, как если бы вы читали статьи в Википедии по стандартным HTTP-соединениям, и у вас не было бы проблем в любом случае.
Почему некоторые веб-страницы имеют эту проблему
Вы увидите эту ошибку только в том случае, если есть проблема с кодировкой веб-страницы. Если веб-страница обслуживается через HTTPS, она также должна использовать протокол HTTPS для загрузки файлов сценариев и другого требуемого содержимого. Веб-разработчики должны проверять свои веб-страницы, гарантируя, что они не вызывают страшные предупреждения в браузерах пользователей. Если вы пользователь, вы не можете ничего с этим поделать - владельцем веб-сайта может быть исправлено его решение.
Если вы веб-разработчик, все, что вам нужно сделать, это обеспечить, чтобы ваши HTTPS-страницы загружали контент с URL-адресов HTTPS, а не URL-адресов HTTP. Один из способов сделать это - заставить весь ваш сайт работать только через SSL, поэтому все просто использует HTTPS.
Если вы хотите сделать страницу, которая может быть передана через HTTP или HTTPS, и делает правильную вещь автоматически, вы можете использовать «относительные URL-адреса», чтобы браузер пользователя автоматически выбирал HTTP или HTTPS, в зависимости от того, какой протокол пользователь связана с. Например, относительный URL-адрес протокола для загрузки изображения будет выглядеть так:
Веб-браузеры автоматически блокируют смешанный контент или вашу защиту, и именно поэтому. Если вам нужно использовать безопасный веб-сайт, который не работает должным образом, если вы не разрешаете смешанный контент, владелец сайта должен его исправить.
