เนื้อหาผสมคืออะไร

เนื้อหาผสมเกิดขึ้นเมื่อโหลด HTML เริ่มต้นผ่านการเชื่อมต่อ HTTPS ที่ปลอดภัย แต่โหลดทรัพยากรอื่นๆ (เช่น รูปภาพ วิดีโอ สไตล์ชีต สคริปต์) ผ่านการเชื่อมต่อ HTTP ที่ไม่ปลอดภัย ซึ่งเรียกว่าเนื้อหาผสม เนื่องจากมีการโหลดทั้งเนื้อหา HTTP และ HTTPS เพื่อแสดงหน้าเดียวกัน และคำขอเริ่มต้นมีความปลอดภัย

การขอทรัพยากรย่อยโดยใช้โปรโตคอล HTTP ที่ไม่ปลอดภัยจะลดความปลอดภัยของทั้งหน้า เนื่องจากคำขอเหล่านี้เสี่ยงต่อการโจมตีในเส้นทาง ซึ่งผู้โจมตีจะดักฟังการเชื่อมต่อเครือข่ายและดูหรือแก้ไขการสื่อสารระหว่าง 2 ฝ่าย เมื่อใช้ทรัพยากรเหล่านี้ ผู้โจมตีสามารถติดตามผู้ใช้และแทนที่เนื้อหาในเว็บไซต์ และในกรณีของเนื้อหาผสมที่มีการใช้งานอยู่ ให้ควบคุมหน้าได้อย่างสมบูรณ์ ไม่ใช่แค่ทรัพยากรที่ไม่ปลอดภัย

แม้ว่าเบราว์เซอร์จำนวนมากจะรายงานคำเตือนเนื้อหาผสมให้ผู้ใช้ทราบ แต่เมื่อเกิดกรณีเช่นนี้ขึ้น ก็ถือว่าสายเกินไปแล้ว มีการส่งคำขอที่ไม่ปลอดภัยไปแล้วและหน้าเว็บถูกบุกรุก

นี่จึงเป็นสาเหตุที่เบราว์เซอร์บล็อกเนื้อหาผสมมากขึ้นเรื่อยๆ หากคุณมีเนื้อหาผสมในเว็บไซต์ การแก้ไขเนื้อหาจะช่วยให้เนื้อหาโหลดต่อได้เมื่อเบราว์เซอร์เข้มงวดขึ้น

เนื้อหาผสม 2 ประเภท

เนื้อหาผสม 2 ประเภท ได้แก่ แอ็กทีฟและแพสซีฟ

เนื้อหาผสมแบบแพสซีฟหมายถึงเนื้อหาที่ไม่ได้โต้ตอบกับส่วนอื่นๆ ในหน้าเว็บ การโจมตีแบบแทรกกลางการสื่อสารจึงถูกจำกัดไว้เพียงสิ่งที่พวกเขาทำได้ในกรณีที่สกัดกั้นหรือเปลี่ยนแปลงเนื้อหาดังกล่าว เนื้อหาผสมแบบแพสซีฟหมายถึงเนื้อหารูปภาพ วิดีโอ และเสียง

เนื้อหาผสมที่ใช้งานอยู่จะโต้ตอบกับหน้าเว็บโดยรวม และทำให้ผู้โจมตีทำเกือบทุกอย่างกับหน้าเว็บได้ เนื้อหาผสมที่มีการใช้งาน ได้แก่ สคริปต์, สไตล์ชีต, iframe และโค้ดอื่นๆ ที่เบราว์เซอร์สามารถดาวน์โหลดและเรียกใช้ได้

เนื้อหาผสมแบบแพสซีฟ

เนื้อหาผสมแบบแพสซีฟจะถูกมองว่าเป็นปัญหาน้อยกว่า แต่ยังคงเป็นภัยคุกคามด้านความปลอดภัยต่อเว็บไซต์และผู้ใช้ของคุณ ตัวอย่างเช่น ผู้โจมตีสามารถขัดขวางคำขอ HTTP สำหรับรูปภาพในเว็บไซต์ของคุณและสลับหรือเปลี่ยนรูปภาพเหล่านี้ ผู้โจมตีอาจสลับรูปภาพปุ่มบันทึกและลบ ซึ่งทำให้ผู้ใช้ลบเนื้อหาโดยไม่ต้องตั้งใจ แทนที่แผนภาพผลิตภัณฑ์ด้วยเนื้อหาลามกหรืออนาจาร เปิดเผยเว็บไซต์ หรือเปลี่ยนรูปภาพผลิตภัณฑ์ด้วยโฆษณาของเว็บไซต์หรือผลิตภัณฑ์อื่น

แม้ว่าผู้โจมตีจะไม่แก้ไขเนื้อหาของเว็บไซต์ แต่ผู้โจมตีจะติดตามผู้ใช้ผ่านคำขอเนื้อหาแบบผสมได้ ผู้โจมตีสามารถบอกได้ว่าผู้ใช้เข้าชมหน้าใดและผลิตภัณฑ์ใดที่พวกเขาดู โดยอิงตามรูปภาพหรือแหล่งข้อมูลอื่นๆ ที่เบราว์เซอร์โหลด

หากมีเนื้อหาผสมแบบแพสซีฟ เบราว์เซอร์ส่วนใหญ่จะระบุในแถบ URL ว่าหน้าเว็บไม่ปลอดภัย แม้ว่าหน้าเว็บจะโหลดผ่าน HTTPS ก็ตาม คุณสังเกตพฤติกรรมนี้ได้จากการสาธิตที่มีตัวอย่างของเนื้อหาผสมแบบแพสซีฟ

จนกระทั่งเนื้อหาผสมแบบแพสซีฟโหลดขึ้นในทุกเบราว์เซอร์ เนื่องจากการบล็อกเนื้อหาอาจทำให้เว็บไซต์จำนวนมากเสียหายได้ ปัจจุบันนี้เริ่มมีการเปลี่ยนแปลง จึงต้องอัปเดตอินสแตนซ์ของเนื้อหาผสมในเว็บไซต์ของคุณ

ปัจจุบัน Chrome กำลังเปิดตัว การอัปเกรดเนื้อหาผสมแบบแพสซีฟแบบอัตโนมัติหากเป็นไปได้ การอัปเกรดอัตโนมัติหมายความว่า หากเนื้อหาพร้อมใช้งานผ่าน HTTPS แต่มีการฮาร์ดโค้ดเป็น HTTP เบราว์เซอร์จะโหลดเวอร์ชัน HTTPS หากไม่พบเวอร์ชันที่ปลอดภัย เนื้อหาจะไม่โหลด

เมื่อใดก็ตามที่ตรวจพบเนื้อหาผสมหรืออัปเกรดเนื้อหาผสมแบบแพสซีฟโดยอัตโนมัติ Chrome จะบันทึกรายละเอียดข้อความไปยังแท็บปัญหาในเครื่องมือสำหรับนักพัฒนาเว็บ เพื่อแนะนำวิธีแก้ปัญหาเฉพาะหน้า

แท็บปัญหาในเครื่องมือสำหรับนักพัฒนาเว็บใน Chrome แสดงข้อมูลโดยละเอียดเกี่ยวกับปัญหาเนื้อหาผสมที่เฉพาะเจาะจงและวิธีแก้ไข

เนื้อหาผสมที่ใช้งานอยู่

เนื้อหาผสมที่มีการใช้งานก่อให้เกิดภัยคุกคามมากกว่าเนื้อหาผสมแบบแพสซีฟ ผู้โจมตีสามารถสกัดกั้นและเขียนเนื้อหาที่ใช้งานอยู่ใหม่ ซึ่งจะเข้าควบคุมหน้าเว็บของคุณทั้งหมดหรือแม้แต่ทั้งเว็บไซต์ ซึ่งจะทำให้ผู้โจมตีเปลี่ยนแปลงทุกอย่างเกี่ยวกับหน้าเว็บได้ ไม่ว่าจะเป็นการแสดงเนื้อหาที่แตกต่างกันโดยสิ้นเชิง การขโมยรหัสผ่านของผู้ใช้หรือข้อมูลเข้าสู่ระบบอื่นๆ การขโมยคุกกี้เซสชันของผู้ใช้ หรือการเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์อื่นไปเลย

จากความรุนแรงของภัยคุกคามนี้ เบราว์เซอร์ส่วนใหญ่จึงบล็อกเนื้อหาประเภทนี้โดยค่าเริ่มต้นเพื่อปกป้องผู้ใช้ แต่ฟังก์ชันการทำงานจะแตกต่างกันไประหว่างผู้ให้บริการเบราว์เซอร์และเวอร์ชัน

การสาธิตอื่นๆ นี้มีตัวอย่างของเนื้อหาผสมที่มีการใช้งาน โหลดตัวอย่างผ่าน HTTP เพื่อดูเนื้อหาที่ถูกบล็อกเมื่อคุณโหลดตัวอย่างผ่าน HTTPS คุณจะเห็นรายละเอียดเนื้อหาที่ถูกบล็อกในแท็บปัญหาด้วย

แท็บปัญหาในเครื่องมือสำหรับนักพัฒนาเว็บใน Chrome แสดงข้อมูลโดยละเอียดเกี่ยวกับปัญหาเนื้อหาผสมที่เฉพาะเจาะจงและวิธีแก้ไข

ข้อกำหนดด้านเนื้อหาผสม

เบราว์เซอร์เป็นไปตามข้อกำหนดของเนื้อหาผสม ซึ่งกำหนดหมวดหมู่เนื้อหาที่บล็อกได้และเนื้อหาที่บล็อกได้

จากข้อกำหนดดังกล่าว ทรัพยากรถือเป็นเนื้อหาที่บล็อกได้ (ไม่บังคับ) "เมื่อความเสี่ยงในการอนุญาตให้ใช้งานเนื่องจากเนื้อหาผสมมีน้ำหนักมากกว่าความเสี่ยงที่จะทำลายเนื้อหาส่วนสำคัญในเว็บ" นี่เป็นเพียงส่วนหนึ่งของหมวดหมู่เนื้อหาผสมแบบแพสซีฟที่อธิบายไว้ข้างต้น

เนื้อหาทั้งหมดที่เลือกบล็อกได้จะถือว่าบล็อกได้และควรบล็อกโดยเบราว์เซอร์

ในช่วงไม่กี่ปีที่ผ่านมา การใช้ HTTPS ได้เพิ่มขึ้นอย่างมากและกลายเป็นค่าเริ่มต้นที่ชัดเจนบนเว็บ ปัจจุบันเบราว์เซอร์จึงมีแนวโน้มที่จะบล็อกเนื้อหาผสมทั้งหมดได้ง่ายขึ้น แม้กระทั่งประเภททรัพยากรย่อยที่ระบุไว้ในข้อกำหนดของเนื้อหาผสมว่าบล็อกได้ (ไม่บังคับ) นี่คือเหตุผลที่เราเห็น Chrome ใช้แนวทางที่เข้มงวดยิ่งขึ้นในการจัดการทรัพยากรย่อยเหล่านี้

เบราว์เซอร์รุ่นเก่า

โปรดอย่าลืมว่าผู้เข้าชมเว็บไซต์ของคุณบางคนไม่ได้ใช้เบราว์เซอร์ที่ทันสมัยที่สุด เวอร์ชันต่างๆ จากผู้ให้บริการเบราว์เซอร์ที่ต่างกันแต่ละรายจะดำเนินการกับเนื้อหาผสมแตกต่างกันไป อย่างแย่ที่สุดคือเบราว์เซอร์และเวอร์ชันเก่าจะไม่บล็อกเนื้อหาผสมเลย ซึ่งทำให้ไม่ปลอดภัยมากสำหรับผู้ใช้

การแก้ไขปัญหาเนื้อหาผสมจะทำให้มั่นใจได้ว่าเนื้อหาของคุณจะปรากฏในเบราว์เซอร์ใหม่ๆ นอกจากนี้คุณยังช่วยปกป้องผู้ใช้จากเนื้อหาที่เป็นอันตรายซึ่งไม่ได้ถูกบล็อกโดยเบราว์เซอร์รุ่นเก่า