เนื้อหาผสมเกิดขึ้นเมื่อโหลด HTML เริ่มต้นผ่านการเชื่อมต่อ HTTPS ที่ปลอดภัย แต่โหลดทรัพยากรอื่นๆ (เช่น รูปภาพ วิดีโอ สไตล์ชีต สคริปต์) ผ่านการเชื่อมต่อ HTTP ที่ไม่ปลอดภัย ซึ่งเรียกว่าเนื้อหาผสม เนื่องจากมีการโหลดทั้งเนื้อหา HTTP และ HTTPS เพื่อแสดงหน้าเดียวกัน และคำขอเริ่มต้นมีความปลอดภัย
การขอทรัพยากรย่อยโดยใช้โปรโตคอล HTTP ที่ไม่ปลอดภัยจะลดความปลอดภัยของทั้งหน้า เนื่องจากคำขอเหล่านี้เสี่ยงต่อการโจมตีในเส้นทาง ซึ่งผู้โจมตีจะดักฟังการเชื่อมต่อเครือข่ายและดูหรือแก้ไขการสื่อสารระหว่าง 2 ฝ่าย เมื่อใช้ทรัพยากรเหล่านี้ ผู้โจมตีสามารถติดตามผู้ใช้และแทนที่เนื้อหาในเว็บไซต์ และในกรณีของเนื้อหาผสมที่มีการใช้งานอยู่ ให้ควบคุมหน้าได้อย่างสมบูรณ์ ไม่ใช่แค่ทรัพยากรที่ไม่ปลอดภัย
แม้ว่าเบราว์เซอร์จำนวนมากจะรายงานคำเตือนเนื้อหาผสมให้ผู้ใช้ทราบ แต่เมื่อเกิดกรณีเช่นนี้ขึ้น ก็ถือว่าสายเกินไปแล้ว มีการส่งคำขอที่ไม่ปลอดภัยไปแล้วและหน้าเว็บถูกบุกรุก
นี่จึงเป็นสาเหตุที่เบราว์เซอร์บล็อกเนื้อหาผสมมากขึ้นเรื่อยๆ หากคุณมีเนื้อหาผสมในเว็บไซต์ การแก้ไขเนื้อหาจะช่วยให้เนื้อหาโหลดต่อได้เมื่อเบราว์เซอร์เข้มงวดขึ้น
เนื้อหาผสม 2 ประเภท
เนื้อหาผสม 2 ประเภท ได้แก่ แอ็กทีฟและแพสซีฟ
เนื้อหาผสมแบบแพสซีฟหมายถึงเนื้อหาที่ไม่ได้โต้ตอบกับส่วนอื่นๆ ในหน้าเว็บ การโจมตีแบบแทรกกลางการสื่อสารจึงถูกจำกัดไว้เพียงสิ่งที่พวกเขาทำได้ในกรณีที่สกัดกั้นหรือเปลี่ยนแปลงเนื้อหาดังกล่าว เนื้อหาผสมแบบแพสซีฟหมายถึงเนื้อหารูปภาพ วิดีโอ และเสียง
เนื้อหาผสมที่ใช้งานอยู่จะโต้ตอบกับหน้าเว็บโดยรวม และทำให้ผู้โจมตีทำเกือบทุกอย่างกับหน้าเว็บได้ เนื้อหาผสมที่มีการใช้งาน ได้แก่ สคริปต์, สไตล์ชีต, iframe และโค้ดอื่นๆ ที่เบราว์เซอร์สามารถดาวน์โหลดและเรียกใช้ได้
เนื้อหาผสมแบบแพสซีฟ
เนื้อหาผสมแบบแพสซีฟจะถูกมองว่าเป็นปัญหาน้อยกว่า แต่ยังคงเป็นภัยคุกคามด้านความปลอดภัยต่อเว็บไซต์และผู้ใช้ของคุณ ตัวอย่างเช่น ผู้โจมตีสามารถขัดขวางคำขอ HTTP สำหรับรูปภาพในเว็บไซต์ของคุณและสลับหรือเปลี่ยนรูปภาพเหล่านี้ ผู้โจมตีอาจสลับรูปภาพปุ่มบันทึกและลบ ซึ่งทำให้ผู้ใช้ลบเนื้อหาโดยไม่ต้องตั้งใจ แทนที่แผนภาพผลิตภัณฑ์ด้วยเนื้อหาลามกหรืออนาจาร เปิดเผยเว็บไซต์ หรือเปลี่ยนรูปภาพผลิตภัณฑ์ด้วยโฆษณาของเว็บไซต์หรือผลิตภัณฑ์อื่น
แม้ว่าผู้โจมตีจะไม่แก้ไขเนื้อหาของเว็บไซต์ แต่ผู้โจมตีจะติดตามผู้ใช้ผ่านคำขอเนื้อหาแบบผสมได้ ผู้โจมตีสามารถบอกได้ว่าผู้ใช้เข้าชมหน้าใดและผลิตภัณฑ์ใดที่พวกเขาดู โดยอิงตามรูปภาพหรือแหล่งข้อมูลอื่นๆ ที่เบราว์เซอร์โหลด
หากมีเนื้อหาผสมแบบแพสซีฟ เบราว์เซอร์ส่วนใหญ่จะระบุในแถบ URL ว่าหน้าเว็บไม่ปลอดภัย แม้ว่าหน้าเว็บจะโหลดผ่าน HTTPS ก็ตาม คุณสังเกตพฤติกรรมนี้ได้จากการสาธิตที่มีตัวอย่างของเนื้อหาผสมแบบแพสซีฟ
จนกระทั่งเนื้อหาผสมแบบแพสซีฟโหลดขึ้นในทุกเบราว์เซอร์ เนื่องจากการบล็อกเนื้อหาอาจทำให้เว็บไซต์จำนวนมากเสียหายได้ ปัจจุบันนี้เริ่มมีการเปลี่ยนแปลง จึงต้องอัปเดตอินสแตนซ์ของเนื้อหาผสมในเว็บไซต์ของคุณ
ปัจจุบัน Chrome กำลังเปิดตัว การอัปเกรดเนื้อหาผสมแบบแพสซีฟแบบอัตโนมัติหากเป็นไปได้ การอัปเกรดอัตโนมัติหมายความว่า หากเนื้อหาพร้อมใช้งานผ่าน HTTPS แต่มีการฮาร์ดโค้ดเป็น HTTP เบราว์เซอร์จะโหลดเวอร์ชัน HTTPS หากไม่พบเวอร์ชันที่ปลอดภัย เนื้อหาจะไม่โหลด
เมื่อใดก็ตามที่ตรวจพบเนื้อหาผสมหรืออัปเกรดเนื้อหาผสมแบบแพสซีฟโดยอัตโนมัติ Chrome จะบันทึกรายละเอียดข้อความไปยังแท็บปัญหาในเครื่องมือสำหรับนักพัฒนาเว็บ เพื่อแนะนำวิธีแก้ปัญหาเฉพาะหน้า
เนื้อหาผสมที่ใช้งานอยู่
เนื้อหาผสมที่มีการใช้งานก่อให้เกิดภัยคุกคามมากกว่าเนื้อหาผสมแบบแพสซีฟ ผู้โจมตีสามารถสกัดกั้นและเขียนเนื้อหาที่ใช้งานอยู่ใหม่ ซึ่งจะเข้าควบคุมหน้าเว็บของคุณทั้งหมดหรือแม้แต่ทั้งเว็บไซต์ ซึ่งจะทำให้ผู้โจมตีเปลี่ยนแปลงทุกอย่างเกี่ยวกับหน้าเว็บได้ ไม่ว่าจะเป็นการแสดงเนื้อหาที่แตกต่างกันโดยสิ้นเชิง การขโมยรหัสผ่านของผู้ใช้หรือข้อมูลเข้าสู่ระบบอื่นๆ การขโมยคุกกี้เซสชันของผู้ใช้ หรือการเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์อื่นไปเลย
จากความรุนแรงของภัยคุกคามนี้ เบราว์เซอร์ส่วนใหญ่จึงบล็อกเนื้อหาประเภทนี้โดยค่าเริ่มต้นเพื่อปกป้องผู้ใช้ แต่ฟังก์ชันการทำงานจะแตกต่างกันไประหว่างผู้ให้บริการเบราว์เซอร์และเวอร์ชัน
การสาธิตอื่นๆ นี้มีตัวอย่างของเนื้อหาผสมที่มีการใช้งาน โหลดตัวอย่างผ่าน HTTP เพื่อดูเนื้อหาที่ถูกบล็อกเมื่อคุณโหลดตัวอย่างผ่าน HTTPS คุณจะเห็นรายละเอียดเนื้อหาที่ถูกบล็อกในแท็บปัญหาด้วย
ข้อกำหนดด้านเนื้อหาผสม
เบราว์เซอร์เป็นไปตามข้อกำหนดของเนื้อหาผสม ซึ่งกำหนดหมวดหมู่เนื้อหาที่บล็อกได้และเนื้อหาที่บล็อกได้
จากข้อกำหนดดังกล่าว ทรัพยากรถือเป็นเนื้อหาที่บล็อกได้ (ไม่บังคับ) "เมื่อความเสี่ยงในการอนุญาตให้ใช้งานเนื่องจากเนื้อหาผสมมีน้ำหนักมากกว่าความเสี่ยงที่จะทำลายเนื้อหาส่วนสำคัญในเว็บ" นี่เป็นเพียงส่วนหนึ่งของหมวดหมู่เนื้อหาผสมแบบแพสซีฟที่อธิบายไว้ข้างต้น
เนื้อหาทั้งหมดที่เลือกบล็อกได้จะถือว่าบล็อกได้และควรบล็อกโดยเบราว์เซอร์
ในช่วงไม่กี่ปีที่ผ่านมา การใช้ HTTPS ได้เพิ่มขึ้นอย่างมากและกลายเป็นค่าเริ่มต้นที่ชัดเจนบนเว็บ ปัจจุบันเบราว์เซอร์จึงมีแนวโน้มที่จะบล็อกเนื้อหาผสมทั้งหมดได้ง่ายขึ้น แม้กระทั่งประเภททรัพยากรย่อยที่ระบุไว้ในข้อกำหนดของเนื้อหาผสมว่าบล็อกได้ (ไม่บังคับ) นี่คือเหตุผลที่เราเห็น Chrome ใช้แนวทางที่เข้มงวดยิ่งขึ้นในการจัดการทรัพยากรย่อยเหล่านี้
เบราว์เซอร์รุ่นเก่า
โปรดอย่าลืมว่าผู้เข้าชมเว็บไซต์ของคุณบางคนไม่ได้ใช้เบราว์เซอร์ที่ทันสมัยที่สุด เวอร์ชันต่างๆ จากผู้ให้บริการเบราว์เซอร์ที่ต่างกันแต่ละรายจะดำเนินการกับเนื้อหาผสมแตกต่างกันไป อย่างแย่ที่สุดคือเบราว์เซอร์และเวอร์ชันเก่าจะไม่บล็อกเนื้อหาผสมเลย ซึ่งทำให้ไม่ปลอดภัยมากสำหรับผู้ใช้
การแก้ไขปัญหาเนื้อหาผสมจะทำให้มั่นใจได้ว่าเนื้อหาของคุณจะปรากฏในเบราว์เซอร์ใหม่ๆ นอกจากนี้คุณยังช่วยปกป้องผู้ใช้จากเนื้อหาที่เป็นอันตรายซึ่งไม่ได้ถูกบล็อกโดยเบราว์เซอร์รุ่นเก่า