Змішане вміст HTTPS: як виправити помилку

Іноді виникає наступна ситуація: ви замовили довірений SSL сертифікат, пройшли перевірку центром сертифікації, встановили сертифікат на сервер. Все зробили вірно, але при спробі перейти на ваш ресурс, браузер видає помилку: «Не вдалося завантажити сайт, заблоковано завантаження змішаного активного вмісту». Або ж, як варіант, веб-сайт завантажується, але замість закритого замка в адресному рядку браузера показує жовтий трикутник і повідомляє про те, що з'єднання зашифровано тільки частково. Причина цих проблем - змішаний вміст або змішаний контент (в англійському варіанті - mixed content) на вашому сайті.

Що ж являє собою змішаний контент? І, найголовніше, як його позбутися?

Що таке змішаний вміст?

Всі ми знаємо, що при відвідуванні веб-сайту, на якому клієнт планує ввести будь-які особисті дані, будь-то логін і пароль, ПІБ, електронний або просту адресу, номери кредитних карт і інше, слід звертати увагу, захищена ця сторінка SSL сертифікатом . На це вказують деякі візуальні ознаки:

• URL-адресу веб-сайту починається з розширення https, а не http (наприклад, https://emaro-ssl.ru)
• В адресному рядку браузера відображається іконка закритого замка (найчастіше зеленого кольору)
• Добре, якщо на сайті встановлена ​​друк захисту або Site Seal (але її додавання опціонально, тому її відсутність не завжди говорить про відсутність SSL сертифікату)
• Якщо на сайт встановлений SSL сертифікат з розширеною перевіркою , Зелена рядок буде містити і назва компанії-власника домену на зеленому тлі.

Проте, в деяких випадках виникають проблеми з відображенням вмісту сайту при наявності змішаного вмісту: наприклад, в Google Chrome в адресному рядку замість зеленого замку показується замок, перекритий жовтим трикутником. У Mozilla Firefox замість замку показується трикутник зі знаком оклику, як на картинці нижче.

Крім того, у вікні браузера може з'являтися повідомлення про те, що веб-сторінка містить змішаний вміст і інформація відображається частково, або повністю заблокована і не відображається взагалі. В кожному браузері повідомлення про змішаному контенті може показуватися по-різному, але суть одна - користувач отримує попередження і не зможе переглянути весь вміст сторінки, що, відповідно, робить негативний вплив на конверсію сайту в цілому.

Internet Explorer:

Internet Explorer повідомляє, що відображено тільки безпечне вміст сайту, надане через безпечний протокол https. У вас є можливість відобразити весь контент сторінки натисканням кнопки "Show all content" ( «показати все вміст»).

Google Chrome:

Браузер Google Chrome пише, що дана сторінка містить скрипт з неперевіреного джерела. Ви можете завантажити весь вміст сайту, натиснувши на посилання "Load unsafe content" ( "Завантажити небезпечне вміст)".

Mozilla Firefox:

Mozilla Firefox також блокує небезпечне наповнення, проте інформує, що більшість веб-сайтів продовжують працювати, незважаючи на заблокований вміст.

Якщо ви бачите одне з цих попереджень, це означає, що, незважаючи на встановлений SSL сертифікат, з'єднання не може бути повністю захищене, так як деякі файли завантажується по http-каналу. Відповідно, ця інформація може бути переглянута або змінена третіми особами. Тому на сайтах зі змішаним вмістом не рекомендується залишати особисту інформацію, таку як, наприклад, банківські та паспортні дані, логіни і паролі, адреси і так далі.

Чому змішаний вміст блокується?

По суті, змішаний вміст або змішаний контент - це змішані скрипти протоколів https і http. Справа в тому, що якщо не всі наповнення сайту складається з файлів, що завантажуються по протоколу https, і на сторінці є частина контенту, що завантажується по протоколу http, то таке з'єднання може бути захищене тільки частково. В результаті, здавалося б безпечне з'єднання є не зовсім безпечним.

Чому ж виникають проблеми зі змішаним вмістом, і до яких наслідків може це призвести?

SSL сертифікат гарантує захищене https-з'єднання. Відповідно, при встановленому SSL сертифікаті сторінки веб-сайту повинні завантажуватися тільки по протоколу https. Якщо використовувати на безпечному сайті також частини контенту по http, з'являються прогалини в безпеці з'єднання між веб-сайтом і Інтернет користувачем. Отже, шахраї або просто треті особи, зацікавлені в отриманні конфіденційних даних, можуть замінити частини сайту з http на навмисно змінену інформацію і тим самим скомпрометувати веб-сторінку. Отримавши особисту інформацію відвідувачів, її можуть використовувати в своїх корисливих цілях.

Яким буває змішаний контент?

Існує два види змішаного вмісту: активне і пасивне. Різниця між ними полягає в тому, як шахрай може використовувати ту чи іншу частину сторінки і якими можуть бути наслідки для користувачів. Давайте розберемося докладніше:

Пасивне змішаний вміст

Пасивне змішаний вміст (від англ. Mixed passive content або Mixed display content) - частина сторінки, яка відображається на сайті, несе в собі будь-яку інформацію, але безпосередньо не впливає на функціонування сайту. Пасивний змішаний контент з'являється, коли на захищеній веб-сторінці завантажується картинка, відеозапис, звуковий файл або об'єкт через http протокол. Шахраї можуть замінити відповідну частину контенту дезориентирующей інформацією, що містить cookie-файли, і таким чином зможуть збирати інформацію про переміщення користувача на сторінках. Картинку на сайті потенційно можуть замінити іншим зображенням, що містить неправдиву інформацію або будь-якої заклик до користувача.

Більшість браузерів не блокують повністю весь вміст пасивного типу, а попереджають про присутність такої інформації на сайті у вигляді спеціального знака, як це було показано на прикладах вище. Такий вид змішаного вмісту зустрічається дуже часто на різних веб-сайтах.

Попередження про змішаному пасивному вмісті на Google Chrome виглядає так:

Види пасивного змішаного контенту:

• src атрибут <audio> - звуковий файл
• src атрибут <img> - зображення
• src атрибут <video> - відеозапис
• субресурси <object> - запит будь-яких файлів веб-сайту по http

Активне змішаний вміст

Активне змішаний вміст (від англ. Mixed Active Content) - набагато небезпечніша тип змішаного контенту. В даному випадку через небезпечний http протокол завантажуються файли, які можуть вносити зміни на сторінці, що завантажується по https-з'єднанню, і потенційно вкрасти особисті дані, що вводяться користувачами. Таким чином, разом з описаними вище ризиками, яким піддає безпеку сторінки пасивний контент, активне змішаний вміст тягне за собою і інші, більш небезпечні загрози. Так, з його допомогою шахрай може перехопити запит на http контент або змінити відповідь сервера, додавши в нього шкідливий код JavaScript, який в свою чергу може вкрасти ім'я користувача і пароль, отримати особисті дані або спробувати встановити шкідливе ПЗ на операційній системі користувача.

Більшість браузерів блокує активну змішаний вміст. До нього належать такі http запити:

• data атрибут <object> - вибір файлу, який відображається на сторінці
• href атрибут <link> - витікаючі посилання
• src атрибут <script> - файл скрипта
• src атрибут <iframe> - файл, що відображається у фреймі
• атрибут XMLHttpRequest - об'єкт, за допомогою якого JavaScript робить http-запити до сервера без перезавантаження сторінки

Як виправити змішаний вміст?

Після установки SSL сертифікату, необхідно обов'язково перевіряти, чи правильно працює веб-сторінка, чи коректно налаштована переадресація, чи всі посилання всередині сайту відкриваються по протоколу https. Для перевірки змішаного контенту рекомендуємо використовувати браузер Google Chrome.

1. В першу чергу зверніть увагу, як відображається Ваш URL-адресу. Якщо замочок перед адресою зелений - проблем з https-з'єднанням немає. Якщо він перекритий жовтим трикутником, швидше за все, мова йде саме про змішаному вмісті.
2. У вікні клацніть правою кнопкою миші і перейдіть за посиланням "Перегляд коду елемента». Це ж можна зробити, натиснувши комбінацію клавіш Ctrl + Shift + I.
3. Внизу вікна браузера з'явиться вікно, перейдіть в останню вкладку Console ( «Консоль»). У ній будуть перераховані проблемні посилання після попередження «Mixed Content: і далі перерахування файлів, які завантажуються по протоколу http», як на прикладі нижче:

Все, що Вам потрібно зробити, - це замінити всі http-посилання на https. Для того, щоб уникнути появи змішаного вмісту при переході на https, рекомендуємо спочатку все посилання всередині сайту оформляти як динамічні. Тоді при переході на https-з'єднання, вони автоматично будуть змінюватися на https-посилання.

Купити SSL сертифікат

Забезпечте захист переданих даних за допомогою SSL сертифікату

Поділитися "Змішане вміст HTTPS: як виправити блокування змішаного контенту?"

Змішане вміст HTTPS: як виправити блокування змішаного контенту?

3.8 (76.12%) Всього оцінок: 67