Treści mieszane mają miejsce, gdy początkowy kod HTML jest wczytywany przez bezpieczne połączenie HTTPS, ale inne zasoby (np. obrazy, filmy, arkusze stylów, skrypty) są wczytywane przez niezabezpieczone połączenie HTTP. Nazywamy to treścią mieszaną, ponieważ treści HTTP i HTTPS są ładowane w celu wyświetlenia tej samej strony, a początkowe żądanie jest zabezpieczone przez HTTPS.
Żądanie zasobów podrzędnych za pomocą niezabezpieczonego protokołu HTTP zmniejsza bezpieczeństwo całej strony, ponieważ żądania te są narażone na ataki typu on-path, w ramach których osoba przeprowadzająca atak podsłuchuje połączenie sieciowe i wyświetla lub zmienia komunikację między 2 osobami. Korzystając z tych zasobów, hakerzy mogą śledzić użytkowników i zastępować zawartość witryny, a w przypadku aktywnej treści mieszanej przejąć pełną kontrolę nad stroną, a nie tylko nad niezabezpieczonymi zasobami.
Wiele przeglądarek wysyła użytkownikom ostrzeżenia o treściach o różnej zawartości, ale w takiej sytuacji jest już za późno, ponieważ niezabezpieczone żądania zostały już wykonane i naruszono bezpieczeństwo strony.
Dlatego przeglądarki coraz częściej blokują treść mieszaną. Jeśli masz w witrynie treści mieszane, naprawienie błędu zapewni, że będzie się ona nadal wczytywać w miarę jak przeglądarki będą coraz bardziej rygorystyczne.
Dwa typy treści mieszanej
Wyróżniamy 2 rodzaje treści mieszanej: aktywną i pasywną.
Bierne treści mieszane to takie, które nie wchodzą w interakcje z resztą strony. Atak typu „man in the middle” jest ograniczony do tego, co użytkownik może zrobić, gdy przechwyci lub zmieni daną treść. Pasywna treść mieszana to grafika, wideo i materiały audio.
Aktywna treść mieszana wchodzi w interakcję z całą stroną i pozwala atakującemu wykonać na niej prawie wszystko. Aktywna treść mieszana obejmuje skrypty, arkusze stylów, elementy iframe i inny kod, który przeglądarka może pobrać i wykonać.
Pasywna treść mieszana
Pasywna treść mieszana jest mniej problematyczna, ale nadal stanowi zagrożenie dla Twojej witryny i użytkowników. Osoba przeprowadzająca atak może na przykład przechwycić żądania HTTP dotyczące obrazów znajdujących się w witrynie i zamienić lub zastąpić te obrazy. Osoba przeprowadzająca atak może zamienić obrazy przycisków Zapisz i Usuń, co spowoduje, że użytkownicy będą skasować treści bez zamiaru ich usunięcia. Schematy produktów mogą zostać zastąpione treściami nieprzyzwoitymi lub pornograficznymi, przedstawiającymi Twoją stronę albo zastąpić zdjęcia produktów reklamami innej witryny lub produktu.
Nawet jeśli osoba przeprowadzająca atak nie zmieni zawartości witryny, może śledzić użytkowników za pomocą żądań dotyczących treści mieszanej. Na podstawie obrazów lub innych zasobów wczytywanych przez przeglądarkę osoba przeprowadzająca atak może określić, które strony odwiedza użytkownik i które produkty ogląda.
Jeśli występuje pasywna treść mieszana, większość przeglądarek sygnalizuje na pasku adresu URL, że strona nie jest bezpieczna, nawet jeśli była wczytywana przez HTTPS. Możesz zaobserwować takie zachowanie w tej prezentacji zawierającej przykłady pasywnej treści mieszanej.
Do niedawna pasywna treść mieszana była ładowana we wszystkich przeglądarkach, co uniemożliwiało jej zablokowanie Obecnie to się zmienia, dlatego tak ważne jest zaktualizowanie wszystkich wystąpień treści mieszanej w witrynie.
Obecnie wprowadzamy w Chrome automatyczne uaktualnianie pasywnych treści mieszanych (gdy tylko jest to możliwe). Automatyczne uaktualnienie oznacza, że jeśli zasób jest dostępny przez HTTPS, ale został zakodowany na stałe jako HTTP, przeglądarka wczyta wersję HTTPS. Jeśli nie uda się znaleźć bezpiecznej wersji, zasób się nie wczyta.
Gdy Chrome wykryje treści mieszane lub automatycznie je uaktualni, zapisze szczegółowe komunikaty na karcie Problemy w Narzędziach deweloperskich, aby dowiedzieć się, jak rozwiązać dany problem.
Aktywna treść mieszana
Aktywne treści mieszane stanowią większe zagrożenie niż pasywna treść mieszana. Atakujący może przechwycić i przepisać aktywną treść, przejmując pełną kontrolę nad stroną lub nawet całą witryną. Osoba przeprowadzająca atak może wprowadzić na stronie dowolne zmiany, w tym wyświetlać zupełnie inną zawartość, wykraść hasła i inne dane logowania, kraść pliki cookie sesji użytkowników lub zupełnie przekierować użytkownika do innej witryny.
Ze względu na wagę tego zagrożenia większość przeglądarek domyślnie blokuje ten typ treści, aby chronić użytkowników, ale ich działanie różni się w zależności od dostawcy i wersji.
Ta inna prezentacja zawiera przykłady aktywnej treści mieszanej. Wczytaj przykład przez HTTP, aby zobaczyć treść blokowaną podczas ładowania przykładu przez HTTPS. Zablokowane treści są też wymienione na karcie Problemy.
Specyfikacja treści mieszanych
Przeglądarki są zgodne ze specyfikacją treści mieszanej, która określa kategorie treści możliwych do opcjonalnego zablokowania i treści możliwych do zablokowania.
Zgodnie ze specyfikacją zasób kwalifikuje się jako opcjonalnie blokowany materiał, gdy ryzyko jego wykorzystania w związku z zawartością mieszaną jest w porównaniu z ryzykiem uszkodzenia dużej części sieci. Jest to podzbiór kategorii pasywnej treści mieszanej opisanej powyżej.
Wszystkie treści, których nie można opcjonalnie zablokować, są uważane za blokowalne i powinny zostać zablokowane przez przeglądarkę.
W ostatnich latach gwałtownie wzrosło użycie protokołu HTTPS i stało się domyślnym domyślnym formatem treści w internecie. Dzięki temu przeglądarki mogą teraz blokować całą treść mieszaną, nawet jeśli typy zasobów podrzędnych określone w specyfikacji treści mieszanej są opcjonalnie blokowane. Dlatego teraz Chrome podchodzi do tych zasobów bardziej rygorystycznie.
Starsze przeglądarki
Pamiętaj, że nie każdy użytkownik Twojej witryny korzysta z najnowocześniejszych przeglądarek. Różne wersje dostawców przeglądarek traktują treści mieszane inaczej. Najgorsze, że starsze przeglądarki i wersje w ogóle nie blokują zawartości mieszanej, co jest bardzo niebezpieczne dla użytkownika.
Rozwiąż problemy z treścią mieszaną, aby była ona widoczna w nowych przeglądarkach. Pozwalają też chronić użytkowników przed niebezpiecznymi treściami, które nie są blokowane przez starsze przeglądarki.