Hemsida » hur » Vad exakt är en blandad innehållsvarning?

    Vad exakt är en blandad innehållsvarning?

    "Denna webbplats har osäkert innehåll," "bara säkert innehåll visas." "Firefox har blockerat innehåll som inte är säkert." Du kommer ibland att stöta på dessa varningar när du surfar på webben, men vad betyder det med dem?

    Det finns två typer av blandat innehåll - en är sämre än den andra, men inte heller bra. Blandade innehållsvarningar anger att något är fel med en webbsida du besöker.

    Vad är blandat innehåll?

    Allt detta beror på skillnaden mellan HTTP och HTTPS. HTTP är den vanligaste typen av anslutning - när du besöker en webbplats med HTTP-protokollet är din anslutning till webbplatsen inte säkrad. Någon som avlyssnar på trafiken kan se den sida du tittar på och vilken data du skickar fram och tillbaka.

    Det är därför vi har HTTPS, vilket är bokstavligen "HTTP Secure." HTTPS skapar en säker anslutning mellan dig och webbservern. Anslutningen är krypterad och autentiserad, så ingen kan snoop på din trafik och du har viss försäkran om att du är ansluten till rätt webbplats. Detta är oerhört viktigt för att säkra kontot lösenord och online betalningsdata, så att ingen kan avlyssna dem.

    Blandade innehållsvarningar anger ett problem med en webbsida som du använder över HTTPS. HTTPS-anslutningen ska vara säker, men webbsidans källkod drar i andra resurser med det osäkra HTTP-protokollet, inte HTTPS. Din webbläsares adressfält säger att du är ansluten till HTTPS, men sidan laddar också resurser med det osäkra HTTP-protokollet i bakgrunden. För att du vet att webbsidan du använder inte är helt säker, visar webbläsare en varning som säger att sidan har både HTTPS och HTTP-innehåll - blandat innehåll, med andra ord.

    Varför detta är farligt

    Därför är det faktiskt farligt. Låt oss säga att du är på en betalningssida och du ska skriva in ditt kreditkortsnummer. Betalningssidan visar att det är en krypterad HTTPS-anslutning, men du ser en varning om blandat innehåll. Detta bör höja en röd flagga. Det är möjligt att de betalningsuppgifter du anger skulle kunna fångas av det osäkra innehållet och skickas över en osäker anslutning, vilket tar bort fördelen med HTTPS-säkerhet - någon kan avlyssna och se dina känsliga uppgifter.

    Eftersom HTTP inte autentiserar webbservern på samma sätt som HTTPS gör, är det också möjligt att en säker HTTPS-webbplats som drar in ett skript från en HTTP-webbplats kan luras på att dra en angripares script och köra den på den annars säkra webbplatsen. När HTTPS används, har du fler försäkringar om att innehållet inte var manipulerat och är legitimt.

    I båda fallen elimineras detta fördelen med att ha en säker HTTPS-anslutning. Det är möjligt att en webbplats kan ha en osäker innehållsvarning och ändå säkra dina personuppgifter korrekt, men vi vet verkligen inte och borde inte ta risken. Det är därför webbläsare varnar dig när du stöter på en webbplats som inte är kodas korrekt.

    Blandat aktivt innehåll vs blandat passivt innehåll

    Det finns faktiskt två typer av blandat innehåll. Den farligare är "blandat aktivt innehåll" eller "blandat skript." Detta inträffar när en HTTPS-webbplats laddar en skriptfil över HTTP. Skriptfilen kan köra någon kod på den sida den vill, så att ett skript över en osäker anslutning laddas fullständigt förstör säkerheten för den aktuella sidan. Webbläsare blockerar i allmänhet denna typ av blandat innehåll helt och hållet.

    Den andra typen är "blandat passivt innehåll" eller "blandat visningsinnehåll." Detta inträffar när en HTTPS-webbplats laddar något som en bild eller en ljudfil över en HTTP-anslutning. Denna typ av innehåll kan inte förstöra sidans säkerhet på samma sätt, så webbläsare reagerar inte lika hårt. Det är dock fortfarande en dålig säkerhetspraxis som kan orsaka problem. Till exempel kan en angripare ersätta bilden med en vilseledande bild och manipulera med en teoretiskt säker sida. En begäran om bildbelastning innehåller också rubriker som innehåller cookieinformation som är associerade med en webbplats, så att även ladda en bild över en osäker anslutning kan orsaka problem. Webbläsare visar ofta en varningsikon eller ett meddelande istället för att blockera innehållet helt, eftersom den här typen av blandat innehåll fortfarande är så vanligt på riktiga webbplatser. I Chrome ser du ett hänglås med en gul triangel.

    Vad gör du när du ser en varning för blandat innehåll

    Webbläsare blockerar i allmänhet de farligaste typerna av blandat innehåll som standard. Avblockera inte det. Om du inte kan logga in på en webbplats eller ange betalningsuppgifter online utan att ladda in det blandade innehållet, ska du bara lämna webbplatsen och inte ange din information på en osäker webbplats. Låt webbplatsägare veta att deras webbplats är osäker och bruten.

    Om du ser en varning om att en sida innehåller andra resurser som kanske inte är säkra, är det säkert säkert att logga in i alla fall. Det är inte ett bra tecken om en webbplats som är lika viktig som din bank har detta problem, men den här typen av blandad innehållsvarning är mycket vanligt.

    Å andra sidan är blandade innehållsvarningar inte riktigt en stor sak om du använder en webbplats som inte behöver HTTPS. Alla varningsmeddelanden för blandat innehåll är att en webbsida garanterat kommer att dra nytta av HTTPS-säkerhet - med andra ord, i värsta fallet är webbsidan du besöker så osäker som en vanlig HTTP-webbplats. Så om du åtkomst till en webbplats som Wikipedia bara för att läsa några artiklar och du såg en blandad varning, borde du inte behöva bry sig om det för mycket. I värsta fall är det lika osäkert som om du läste artiklar på Wikipedia över en vanlig HTTP-anslutning, som du inte skulle ha något problem att göra ändå.

    Varför vissa webbsidor har detta problem

    Du kommer bara se detta fel om det finns ett problem med hur en webbsida kodas. Om en webbsida serveras över HTTPS, bör den också använda HTTPS-protokollet för att dra in skriptfiler och annat innehåll som krävs. Webbutvecklare bör testa sina webbsidor och se till att de inte utlöser skrämmande varningar i användarnas webbläsare. Om du är en användare kan du inte göra något åt ​​det här - det är upp till webbplatsägaren att fixa det.

    Om du är en webbutvecklare är allt du behöver göra för att se till att dina HTTPS-sidor laddar innehåll från HTTPS-URL-adresser, inte HTTP-webbadresser. Ett sätt att göra detta är genom att hela din webbplats fungerar bara över SSL, så allting använder bara HTTPS.

    Om du vill skapa en sida som kan serveras via HTTP eller HTTPS och gör det rätta automatiskt kan du använda "protokollens relativa webbadresser" så att användarens webbläsare automatiskt väljer HTTP eller HTTPS, beroende på vilket protokoll användaren är ansluten till. Till exempel skulle en protokollrelativ URL för att ladda en bild se ut


    Webbläsare blockerar automatiskt blandat innehåll eller ditt skydd, och det är därför. Om du behöver använda en säker webbplats som inte fungerar korrekt om du inte aktiverar blandat innehåll ska webbplatsens ägare fixa det.