תוכן מעורב מתרחש כשה-HTML הראשוני נטען דרך חיבור HTTPS מאובטח, אבל משאבים אחרים (כמו תמונות, סרטונים, גיליונות סגנונות, סקריפטים) נטענים בחיבור HTTP לא מאובטח. המצב הזה נקרא תוכן מעורב כי גם תוכן HTTP וגם תוכן HTTPS נטענים כדי להציג את אותו הדף, והבקשה הראשונית הייתה מאובטחת ב-HTTPS.
בקשה למשאבי משנה באמצעות פרוטוקול HTTP לא מאובטח מחלישה את האבטחה של הדף כולו, כי הבקשות האלה חשופות להתקפות בנתיב, שבהן תוקף מאזין לחיבור לרשת וצופה בו או משנה את התקשורת בין שני צדדים. בעזרת המשאבים האלה, תוקפים יכולים לעקוב אחרי משתמשים ולהחליף תוכן באתר, ובמקרה של תוכן מעורב פעיל, הם יכולים להשתלט לחלוטין על הדף ולא רק על המשאבים הלא מאובטחים.
דפדפנים רבים מדווחים למשתמש על אזהרות משולבות לגבי תוכן, אבל זה כבר מאוחר מדי: הבקשות הלא מאובטחות כבר בוצעו ואבטחת הדף נפגעת.
לכן דפדפנים חוסמים יותר ויותר תוכן מעורב. אם האתר שלכם מכיל תוכן מעורב, תיקון התוכן יבטיח שהתוכן ימשיך להיטען ככל שהדפדפנים יהיו מחמירים יותר.
שני הסוגים של תוכן מעורב
יש שני סוגים של תוכן מעורב: פעיל וסביל.
תוכן מעורב פסיבי מתייחס לתוכן שלא מקיים אינטראקציה עם שאר הדף, ולכן התקפת אדם בתווך מוגבלת למה שאפשר לעשות אם יירט את התוכן או ישנה אותו. תוכן מעורב פסיבי מוגדר כתוכן תמונות, וידאו ואודיו.
תוכן מעורב פעיל מקיים אינטראקציה עם הדף כולו, ומאפשר לתוקף לעשות כמעט כל דבר בדף. תוכן מעורב פעיל כולל סקריפטים, גיליונות סגנונות, מסגרות iframe וקוד אחר שהדפדפן יכול להוריד ולהפעיל.
תוכן מעורב פסיבי
תוכן מעורב פסיבי נתפס כפחות בעייתי, אך עדיין מהווה איום אבטחה לאתר ולמשתמשים שלך. לדוגמה, תוקף יכול ליירט בקשות HTTP לתמונות באתר ולהחליף או להחליף את התמונות האלה. התוקף יכול להחליף את תמונות הלחצנים שמירה ומחיקה, ולגרום למשתמשים למחוק תוכן בלי בכוונה, להחליף את דיאגרמות המוצר בתוכן בוטה או פורנוגרפי, או לחשוף את האתר או להחליף את תמונות המוצרים במודעות לקידום אתר או מוצר אחר.
גם אם התוקף לא משנה את תוכן האתר, הוא עלול לעקוב אחרי משתמשים באמצעות בקשות לתוכן מעורב. התוקף יכול לדעת באילו דפים משתמש נכנס ואילו מוצרים הוא צופה על סמך תמונות או משאבים אחרים שהדפדפן טוען.
אם קיים תוכן מעורב פסיבי, רוב הדפדפנים יציינו בסרגל של כתובות ה-URL שהדף לא מאובטח, גם אם הדף עצמו נטען ב-HTTPS. תוכלו לראות את ההתנהגות הזו בעזרת ההדגמה הזו, שמכילה דוגמאות לתוכן מעורב פסיבי.
עד לאחרונה נטען תוכן מעורב פסיבי בכל הדפדפנים, וחסימה שלו הייתה גורמת לשיבושים באתרים רבים. המצב הזה מתחיל עכשיו להשתנות, ולכן חשוב לעדכן את כל המופעים של תוכן מעורב באתר.
ב-Chrome אנחנו משיקים כרגע שדרוג אוטומטי של תוכן מעורב פסיבי כשהדבר אפשרי. המשמעות של שדרוג אוטומטי היא שאם הנכס זמין ב-HTTPS, אבל הקידוד שלו הוא HTTP, הדפדפן יטען את גרסת ה-HTTPS. אם לא ניתן למצוא גרסה מאובטחת, הנכס לא ייטען.
בכל פעם ש-Chrome מזהה תוכן מעורב או משדרג אוטומטית תוכן מעורב פסיבי, Chrome רושם הודעות מפורטות בכרטיסייה Issues בכלי הפיתוח כדי להנחות אתכם איך לתקן את הבעיה הספציפית.
תוכן מעורב פעיל
תוכן מעורב פעיל מהווה איום גדול יותר מאשר תוכן מעורב פסיבי. תוקף יכול ליירט תוכן פעיל ולשכתב אותו, ובכך להשתלט על הדף או אפילו על האתר כולו. כך לתוקף אפשר לשנות כל דבר בדף, כולל הצגת תוכן שונה לחלוטין, גניבת סיסמאות משתמשים או פרטי כניסה אחרים, גניבת קובצי cookie של הפעלת משתמש או הפניית המשתמש לאתר אחר לחלוטין.
עקב חומרת האיום הזה, רוב הדפדפנים כבר חוסמים תוכן מהסוג הזה כברירת מחדל כדי להגן על המשתמשים, אבל הפונקציונליות משתנה בין הספקים והגרסאות של הדפדפנים.
ההדגמה הנוספת הזו מכילה דוגמאות של תוכן מעורב פעיל. טוענים את הדוגמה באמצעות HTTP כדי לראות את התוכן שנחסם כשטוענים את הדוגמה באמצעות HTTPS. התוכן החסום מופיע גם בכרטיסייה בעיות.
מפרט התוכן המעורב
הדפדפנים פועלים בהתאם למפרט התוכן המעורב, שמגדיר את הקטגוריות תוכן שניתן לחסום באופן אופציונלי ותוכן שניתן לחסום.
לפי המפרט, משאב נחשב לתוכן שניתן לחסום באופן אופציונלי "כאשר הסיכון לשימוש בו בתוכן מעורב גבוה מהסיכון לפריצה של חלקים משמעותיים באינטרנט". זוהי קבוצת משנה של הקטגוריה הפסיבית של תוכן מעורב שתואר למעלה.
כל תוכן שלא ניתן לחסום באופן אופציונלי נחשב כניתן לחסימה וצריך להיחסם על ידי הדפדפן.
בשנים האחרונות התרחש השימוש ב-HTTPS באופן דרמטי, והוא הפך לברירת המחדל הברורה באינטרנט. כדי לאפשר לדפדפנים לחסום את כל התוכן המעורב, אפילו את הסוגים האלה של משאבי משנה שמוגדרים במפרט התוכן המעורב כניתנים לחסימה באופן אופציונלי. לכן אנחנו רואים ש-Chrome נוקט גישה מחמירה יותר למשאבי המשנה האלה.
דפדפנים ישנים יותר
חשוב לזכור שלא כל מבקר באתר שלך משתמש בדפדפנים העדכניים ביותר. כל גרסה שונה מספקי דפדפנים שונים מתייחסת לתוכן מעורב באופן שונה. במקרה גרוע, גרסאות ודפדפנים ישנים יותר לא חוסמים תוכן מעורב בכלל, ולכן זה מאוד לא בטוח למשתמש.
תיקון הבעיות בתוכן המעורב שלך מבטיח שהתוכן שלך יוצג בדפדפנים חדשים. אתם גם עוזרים להגן על המשתמשים מפני תוכן מסוכן שאינו חסום על ידי דפדפנים ישנים.