"Ova web stranica ima nesiguran sadržaj"; "prikazan je samo siguran sadržaj;" "Firefox je blokirao sadržaj koji nije siguran." Povremeno ćete naići na ta upozorenja tijekom pregledavanja weba, ali što to točno znače?
Postoje dvije vrste mješovitih sadržaja - jedan je lošiji od drugog, ali niti je dobar. Upozorenja o mješovitim sadržajima pokazuju da nešto nije u redu s web stranicom koju posjećujete.
Sve se svodi na razliku između HTTP i HTTPS. HTTP je najčešća vrsta veze - kada posjetite web stranicu pomoću HTTP protokola, vaša veza s web stranicom nije osigurana. Svatko tko prisluškuje promet može vidjeti stranicu koju gledate i sve podatke koje šaljete natrag i naprijed.
Zato imamo HTTPS, koji je doslovno "HTTP Secure". HTTPS stvara sigurnu vezu između vas i web poslužitelja. Veza je šifrirana i autentificirana, tako da nitko ne može skočiti na vaš promet i imate uvjerenje da ste povezani s ispravnom web-lokacijom. To je iznimno važno za osiguranje zaporke računa i podataka o plaćanju na mreži, čime se nitko ne može prisluškivati.
Upozorenja o mješovitim sadržajima ukazuju na problem s web stranicom na kojoj pristupate preko HTTPS-a. HTTPS veza bi trebala biti sigurna, ali izvorni kôd web stranice povlači druge resurse s nesigurnim HTTP protokolom, a ne HTTPS-om. U adresnoj traci vašeg web preglednika reći ćete da ste povezani s HTTPS-om, ali stranica također učitava resurse s nesigurnim HTTP protokolom u pozadini. Kako biste bili sigurni da znate da web stranica koju upotrebljavate nije potpuno sigurna, preglednici prikazuju upozorenje da stranica ima i HTTPS i HTTP sadržaj - mješoviti sadržaj, drugim riječima.
Evo zašto je to zapravo opasno. Recimo da ste na stranici plaćanja i upravo ćete unijeti broj svoje kreditne kartice. Stranica za plaćanje označava da je to šifrirana HTTPS veza, ali vidite upozorenje o miješanom sadržaju. To bi trebalo podići crvenu zastavu. Moguće je da se podaci o plaćanju koje ste unijeli mogli uhvatiti zbog nesigurnog sadržaja i poslati preko nesigurne veze, uklanjajući prednost HTTPS sigurnosti - netko bi mogao prisluškivati i vidjeti vaše osjetljive podatke.
Budući da HTTP ne autentificira web-poslužitelj na isti način kao i HTTPS, moguće je da se sigurnom HTTPS web lokacijom koja se povlači iz skripte s HTTP web-mjesta može zavarati skriptu napadača i pokrenuti je na inače siguran web mjestu. Kada se upotrebljava HTTPS, imate više uvjerenja da sadržaj nije bio neovlašten i je li legitiman.
U oba slučaja to uklanja prednost imaju sigurnu HTTPS vezu. Moguće je da web stranica može imati nesigurno upozorenje o sadržaju i još uvijek ispravno osigurati vaše osobne podatke, ali mi zaista ne znamo sigurno i ne smijemo riskirati - zato vas web preglednici upozoravaju kada naiđete na web stranicu koja nije pravilno kodirano.
Postoje zapravo dvije vrste mješovitog sadržaja. Opasnije je "miješani aktivni sadržaj" ili "mješovito skriptiranje". To se događa kada HTTPS web mjesto učita datoteku skripte preko HTTP-a. Skripta može pokrenuti kôd na stranici koju želi, pa učitavanje skripte preko nesigurnog veza potpuno uništava sigurnost trenutne stranice. Web-preglednici uglavnom blokiraju ovu vrstu mješovitog sadržaja.
Drugi je tip "miješani pasivni sadržaj" ili "mješoviti sadržaj prikaza". To se događa kada HTTPS web mjesto učita nešto poput slike ili audio datoteke preko HTTP veze. Ova vrsta sadržaja ne može uništiti sigurnost stranice na isti način, pa web preglednici ne reagiraju oštro. Međutim, to je i dalje loša sigurnosna praksa koja bi mogla uzrokovati probleme. Na primjer, napadač može zamijeniti sliku s obmanjujućom slikom i neovlašteno pristupiti teorijski sigurnoj stranici. Zahtjev za učitavanje slika sadrži i zaglavlja koja sadrže podatke o kolačićima povezanima s web-mjestom pa čak i učitavanje slike preko nesigurnog povezivanja može uzrokovati probleme. Web preglednici često prikazuju ikonu upozorenja ili poruku, a ne potpuno blokiraju sadržaj, jer je ova vrsta mješovitih sadržaja još uvijek toliko česta u stvarnim web stranicama. U Chromeu vidjet ćete lokot s žutim trokutom.
Web preglednici obično blokiraju najopasnije vrste miješanih sadržaja prema zadanim postavkama. Nemojte je deblokirati. Ako se ne možete prijaviti na web stranicu ili unijeti podatke o plaćanju na mreži bez učitavanja mješovitog sadržaja, trebali biste jednostavno napustiti web stranicu i ne unositi podatke na nesigurnu web stranicu. Neka vlasnici web stranica znaju da je njihova web stranica nesigurna i slomljena.
Ako primijetite upozorenje da stranica sadrži druge resurse koji možda nisu sigurni, vjerojatno je sigurno da se prijavite. Nije dobar znak ako web stranica jednako važno kao i vaša banka ima ovaj problem, ali ova vrsta upozorenja za mješoviti sadržaj vrlo je česta.
S druge strane, upozorenja o mješovitim sadržajima zapravo nisu važna ako pristupate web-mjestu koje ne zahtijeva HTTPS. Sve upozorenje o miješanom sadržaju znači da je web stranica zajamčena za korištenje HTTPS sigurnosti - drugim riječima, u najgorem slučaju, web stranica koju posjećujete je jednako nesigurna kao i standardna web stranica HTTP-a. Dakle, ako pristupate web-lokaciji kao što je Wikipedija samo za čitanje nekih članaka i vidjeli ste upozorenje o mješovitom sadržaju, ne bi vam se trebalo brinuti previše. U najgorem slučaju, to je jednako nesigurno kao da čitate članke na Wikipediji preko standardne HTTP veze, što ionako ne biste imali nikakvih problema.
Ta se pogreška prikazuje samo ako postoji problem s načinom kodiranja web stranice. Ako se web-stranica poslužuje preko HTTPS-a, ona bi također trebala koristiti HTTPS protokol za privlačenje skriptnih datoteka i drugog sadržaja koji to zahtijeva. Web programeri trebaju testirati svoje web stranice, osiguravajući da ne uzrokuju zastrašujuće upozorenje u korisničkim preglednicima. Ako ste korisnik, zaista ne možete ništa učiniti - vlasniku web mjesta je potrebno riješiti.
Ako ste razvojni programer web-mjesta, sve što trebate učiniti jest osigurati da vaše HTTPS stranice učitavaju sadržaj iz HTTPS URL-ova, a ne HTTP URL-ova. Jedan od načina da to učinite jest da cjelokupna web-lokacija funkcionira samo preko SSL-a, pa sve samo koristi HTTPS.
Ako želite napraviti stranicu koja se može poslužiti preko HTTP-a ili HTTPS-a i automatski radi pravu stvar, možete upotrijebiti "relativne URL-ove protokola" kako bi korisnikov preglednik automatski odabrao HTTP ili HTTPS, ovisno o tome koji je protokol korisnik spojen sa. Na primjer, sličan je relativni URL protokola za učitavanje slike Web preglednici automatski blokiraju miješani sadržaj ili vašu zaštitu, i to je razlog zašto. Ako trebate upotrebljavati sigurnu web stranicu koja ne funkcionira ispravno osim ako ne omogućite mješoviti sadržaj, vlasnik web stranice trebao bi je popraviti.