Hjemmeside » hvordan » Hvad er en blandet indholds advarsel?

    Hvad er en blandet indholds advarsel?

    "Dette websted har usikkert indhold;" "Kun sikkert indhold vises"; "Firefox har blokeret indhold, der ikke er sikkert." Du vil lejlighedsvis komme på tværs af disse advarsler, mens du surfer på internettet, men hvad betyder det egentlig?

    Der er to typer blandet indhold - det ene er værre end det andet, men det er heller ikke godt. Blandede indholds advarsler angiver, at der er noget galt med en webside, du besøger.

    Hvad er blandet indhold?

    Alt dette kommer ned på forskellen mellem HTTP og HTTPS. HTTP er den mest almindelige type forbindelse - når du besøger et websted ved hjælp af HTTP-protokollen, er din forbindelse til hjemmesiden ikke sikret. Enhver, der aflytter på trafikken, kan se den side, du ser, og eventuelle data, du sender frem og tilbage.

    Derfor har vi HTTPS, som er bogstaveligt "HTTP Secure." HTTPS opretter en sikker forbindelse mellem dig og webserveren. Forbindelsen er krypteret og godkendt, så ingen kan snoop på din trafik, og du har en vis sikkerhed for, at du er forbundet med den rigtige hjemmeside. Dette er yderst vigtigt for at sikre kontoadgangskoder og online betalingsdata, der sikrer, at ingen kan aflytte dem.

    Blandede indholds advarsler angiver et problem med en webside, du får adgang til via HTTPS. HTTPS-forbindelsen skal være sikker, men websitetens kildekode trækker i andre ressourcer med den usikre HTTP-protokol, ikke HTTPS. Din webbrowsers adresselinje vil sige, at du er forbundet med HTTPS, men siden lægger også ressourcer i med den usikre HTTP-protokol i baggrunden. For at sikre at du ved, at den webside, du bruger, ikke er helt sikker, viser browsere en advarsel, der siger, at siden har både HTTPS- og HTTP-indhold - blandet indhold, med andre ord.

    Hvorfor dette er farligt

    Her er derfor dette er faktisk farligt. Lad os sige, at du er på en betalingsside, og du er ved at indtaste dit kreditkortnummer. Betalingssiden angiver, at det er en krypteret HTTPS-forbindelse, men du ser et advarsel om blandet indhold. Dette burde rejse et rødt flag. Det er muligt, at de betalingsoplysninger, du indtaster, kunne fanges af det usikre indhold og sendes over en usikker forbindelse, hvilket fjerner fordelen ved HTTPS-sikkerhed - nogen kunne aflytte og se dine følsomme data.

    Da HTTP ikke autentificerer webserveren på samme måde som HTTPS, er det også muligt, at et sikkert HTTPS-websted, der trækker i et script fra et HTTP-websted, kunne blive narret til at trække en angribers script og køre den på det ellers sikre websted. Når HTTPS bruges, har du flere forsikringer om, at indholdet ikke blev manipuleret og er legitimt.

    I begge tilfælde eliminerer dette fordelen ved at have en sikker HTTPS-forbindelse. Det er muligt, at et websted kan have en usikker indholds advarsel og stadig sikre dine personlige data korrekt, men vi ved det ikke rigtigt og bør ikke tage risikoen. Derfor advarer webbrowsere, når du kommer på tværs af et websted, der ikke er kodet korrekt.

    Blandet aktivt indhold vs. blandet passivt indhold

    Der er faktisk to typer blandet indhold. Den mere farlige er "blandet aktivt indhold" eller "blandet scripting." Dette sker, når et HTTPS-websted indlæser en scriptfil over HTTP. Skriptfilen kan køre nogen kode på den side, den vil have, så at læse et script over en usikker forbindelse ødelægger sikkerheden for den aktuelle side fuldstændigt. Webbrowsere blokkerer generelt denne type blandet indhold fuldstændigt.

    Den anden type er "blandet passivt indhold" eller "blandet visningsindhold." Dette sker, når et HTTPS-websted indlæser noget som et billede eller en lydfil over en HTTP-forbindelse. Denne type indhold kan ikke ødelægge sidens sikkerhed på samme måde, så webbrowsere reagerer ikke så hårdt. Det er dog stadig en dårlig sikkerhedspraksis, der kan forårsage problemer. For eksempel kan en angriber erstatte billedet med et vildledende billede, der manipulerer med en teoretisk sikker side. En anmodning om billedbelastning indeholder også overskrifter, der indeholder cookieoplysninger, der er knyttet til et websted, så selv ved at lægge et billede over en usikker forbindelse kan forårsage problemer. Webbrowsere viser ofte et advarselsikon eller en meddelelse i stedet for at blokere indholdet fuldstændigt, da denne type blandet indhold stadig er så almindeligt på rigtige websites. I Chrome ser du en hængelås med en gul trekant.

    Hvad skal du gøre, når du ser en advarsel om blandet indhold

    Webbrowsere blokerer som regel de farligste typer af blandet indhold som standard. Bloker det ikke op. Hvis du ikke kan logge ind på et websted eller indtaste online betalingsoplysninger uden at indlæse det blandede indhold, skal du bare forlade hjemmesiden og ikke indtaste dine oplysninger på et usikkert websted. Lad webstedsejere vide, at deres websted er usikkert og brudt.

    Hvis du ser en advarsel om, at en side indeholder andre ressourcer, der muligvis ikke er sikre, er det sikkert sikkert at logge ind alligevel. Det er ikke et godt tegn, hvis en hjemmeside, der er lige så vigtig som din bank har dette problem, men denne type advarsel om blandet indhold er meget almindeligt.

    På den anden side er blandede indholds advarsler ikke rigtig en stor ting, hvis du har adgang til et websted, der ikke har brug for HTTPS. Alt et advarsel om blandet indhold er, at en webside garanteres at udnytte HTTPS-sikkerhed - med andre ord, i værste fald er den webside, du besøger, lige så usikker som et standard HTTP-websted. Så hvis du havde adgang til et websted som Wikipedia bare for at læse nogle artikler, og du så et blandet indholds advarsel, skal du ikke bekymre dig om det for meget. I værste fald er det lige så usikkert, som om du læste artikler på Wikipedia over en standard HTTP-forbindelse, som du ikke har noget problem at gøre alligevel.

    Hvorfor nogle websider har dette problem

    Du får kun vist denne fejl, hvis der er et problem med måden en webside er kodet på. Hvis en webside serveres over HTTPS, bør den også bruge HTTPS-protokollen til at trække i scriptfiler og andet indhold, som det kræver. Webudviklere bør teste deres websider og sikre, at de ikke udløser uhyggelige advarsler i brugernes browsere. Hvis du er en bruger, kan du ikke gøre noget ved dette - det er op til webstedets ejer at rette op på det.

    Hvis du er en webudvikler, er alt du skal gøre, sikre, at dine HTTPS-sider indlæser indhold fra HTTPS-URL'er, ikke HTTP-URL'er. En måde at gøre dette på er at gøre hele dit websted kun arbejde over SSL, så alt bruger kun HTTPS.

    Hvis du vil lave en side, der kan serveres via HTTP eller HTTPS, og gør den rigtige ting automatisk, kan du bruge "protokollens relative webadresser" for at få brugerens browser til automatisk at vælge HTTP eller HTTPS afhængigt af hvilken protokol brugeren er forbundet med. For eksempel vil en protokolrelativ URL for at indlæse et billede se ud


    Webbrowsere blokerer automatisk blandet indhold eller din beskyttelse, og det er derfor. Hvis du skal bruge et sikkert websted, der ikke fungerer korrekt, medmindre du aktiverer blandet indhold, skal webstedets ejer rette op på det.