Статьи

Змішане вміст HTTPS: як виправити помилку

  1. Що таке змішаний вміст?
  2. Internet Explorer:
  3. Google Chrome:
  4. Mozilla Firefox:
  5. Чому змішаний вміст блокується?
  6. Яким буває змішаний контент?
  7. Пасивне змішаний вміст
  8. Види пасивного змішаного контенту:
  9. Як виправити змішаний вміст?

Іноді виникає наступна ситуація: ви замовили довірений SSL сертифікат, пройшли перевірку центром сертифікації, встановили сертифікат на сервер. Все зробили вірно, але при спробі перейти на ваш ресурс, браузер видає помилку: «Не вдалося завантажити сайт, заблоковано завантаження змішаного активного вмісту». Або ж, як варіант, веб-сайт завантажується, але замість закритого замка в адресному рядку браузера показує жовтий трикутник і повідомляє про те, що з'єднання зашифровано тільки частково. Причина цих проблем - змішаний вміст або змішаний контент (в англійському варіанті - mixed content) на вашому сайті.

Що ж являє собою змішаний контент? І, найголовніше, як його позбутися?

Що таке змішаний вміст?

Всі ми знаємо, що при відвідуванні веб-сайту, на якому клієнт планує ввести будь-які особисті дані, будь-то логін і пароль, ПІБ, електронний або просту адресу, номери кредитних карт і інше, слід звертати увагу, захищена ця сторінка SSL сертифікатом . На це вказують деякі візуальні ознаки:

  • URL-адресу веб-сайту починається з розширення https, а не http (наприклад, https://emaro-ssl.ru)
  • В адресному рядку браузера відображається іконка закритого замка (найчастіше зеленого кольору)
  • Добре, якщо на сайті встановлена ​​друк захисту або Site Seal (але її додавання опціонально, тому її відсутність не завжди говорить про відсутність SSL сертифікату)
  • Якщо на сайт встановлений SSL сертифікат з розширеною перевіркою , Зелена рядок буде містити і назва компанії-власника домену на зеленому тлі.

Проте, в деяких випадках виникають проблеми з відображенням вмісту сайту при наявності змішаного вмісту: наприклад, в Google Chrome в адресному рядку замість зеленого замку показується замок, перекритий жовтим трикутником. У Mozilla Firefox замість замку показується трикутник зі знаком оклику, як на картинці нижче.

Крім того, у вікні браузера може з'являтися повідомлення про те, що веб-сторінка містить змішаний вміст і інформація відображається частково, або повністю заблокована і не відображається взагалі. В кожному браузері повідомлення про змішаному контенті може показуватися по-різному, але суть одна - користувач отримує попередження і не зможе переглянути весь вміст сторінки, що, відповідно, робить негативний вплив на конверсію сайту в цілому.

Internet Explorer:

Internet Explorer:

Internet Explorer повідомляє, що відображено тільки безпечне вміст сайту, надане через безпечний протокол https. У вас є можливість відобразити весь контент сторінки натисканням кнопки "Show all content" ( «показати все вміст»).

Google Chrome:

Google Chrome:

Браузер Google Chrome пише, що дана сторінка містить скрипт з неперевіреного джерела. Ви можете завантажити весь вміст сайту, натиснувши на посилання "Load unsafe content" ( "Завантажити небезпечне вміст)".

Mozilla Firefox:

Mozilla Firefox:

Mozilla Firefox також блокує небезпечне наповнення, проте інформує, що більшість веб-сайтів продовжують працювати, незважаючи на заблокований вміст.

Якщо ви бачите одне з цих попереджень, це означає, що, незважаючи на встановлений SSL сертифікат, з'єднання не може бути повністю захищене, так як деякі файли завантажується по http-каналу. Відповідно, ця інформація може бути переглянута або змінена третіми особами. Тому на сайтах зі змішаним вмістом не рекомендується залишати особисту інформацію, таку як, наприклад, банківські та паспортні дані, логіни і паролі, адреси і так далі.

Чому змішаний вміст блокується?

По суті, змішаний вміст або змішаний контент - це змішані скрипти протоколів https і http. Справа в тому, що якщо не всі наповнення сайту складається з файлів, що завантажуються по протоколу https, і на сторінці є частина контенту, що завантажується по протоколу http, то таке з'єднання може бути захищене тільки частково. В результаті, здавалося б безпечне з'єднання є не зовсім безпечним.

Чому ж виникають проблеми зі змішаним вмістом, і до яких наслідків може це призвести?

SSL сертифікат гарантує захищене https-з'єднання. Відповідно, при встановленому SSL сертифікаті сторінки веб-сайту повинні завантажуватися тільки по протоколу https. Якщо використовувати на безпечному сайті також частини контенту по http, з'являються прогалини в безпеці з'єднання між веб-сайтом і Інтернет користувачем. Отже, шахраї або просто треті особи, зацікавлені в отриманні конфіденційних даних, можуть замінити частини сайту з http на навмисно змінену інформацію і тим самим скомпрометувати веб-сторінку. Отримавши особисту інформацію відвідувачів, її можуть використовувати в своїх корисливих цілях.

Яким буває змішаний контент?

Існує два види змішаного вмісту: активне і пасивне. Різниця між ними полягає в тому, як шахрай може використовувати ту чи іншу частину сторінки і якими можуть бути наслідки для користувачів. Давайте розберемося докладніше:

Пасивне змішаний вміст

Пасивне змішаний вміст (від англ. Mixed passive content або Mixed display content) - частина сторінки, яка відображається на сайті, несе в собі будь-яку інформацію, але безпосередньо не впливає на функціонування сайту. Пасивний змішаний контент з'являється, коли на захищеній веб-сторінці завантажується картинка, відеозапис, звуковий файл або об'єкт через http протокол. Шахраї можуть замінити відповідну частину контенту дезориентирующей інформацією, що містить cookie-файли, і таким чином зможуть збирати інформацію про переміщення користувача на сторінках. Картинку на сайті потенційно можуть замінити іншим зображенням, що містить неправдиву інформацію або будь-якої заклик до користувача.

Більшість браузерів не блокують повністю весь вміст пасивного типу, а попереджають про присутність такої інформації на сайті у вигляді спеціального знака, як це було показано на прикладах вище. Такий вид змішаного вмісту зустрічається дуже часто на різних веб-сайтах.

Попередження про змішаному пасивному вмісті на Google Chrome виглядає так:

Види пасивного змішаного контенту:
  • src атрибут <audio> - звуковий файл
  • src атрибут <img> - зображення
  • src атрибут <video> - відеозапис
  • субресурси <object> - запит будь-яких файлів веб-сайту по http

Активне змішаний вміст

Активне змішаний вміст (від англ. Mixed Active Content) - набагато небезпечніша тип змішаного контенту. В даному випадку через небезпечний http протокол завантажуються файли, які можуть вносити зміни на сторінці, що завантажується по https-з'єднанню, і потенційно вкрасти особисті дані, що вводяться користувачами. Таким чином, разом з описаними вище ризиками, яким піддає безпеку сторінки пасивний контент, активне змішаний вміст тягне за собою і інші, більш небезпечні загрози. Так, з його допомогою шахрай може перехопити запит на http контент або змінити відповідь сервера, додавши в нього шкідливий код JavaScript, який в свою чергу може вкрасти ім'я користувача і пароль, отримати особисті дані або спробувати встановити шкідливе ПЗ на операційній системі користувача.

Більшість браузерів блокує активну змішаний вміст. До нього належать такі http запити:

  • data атрибут <object> - вибір файлу, який відображається на сторінці
  • href атрибут <link> - витікаючі посилання
  • src атрибут <script> - файл скрипта
  • src атрибут <iframe> - файл, що відображається у фреймі
  • атрибут XMLHttpRequest - об'єкт, за допомогою якого JavaScript робить http-запити до сервера без перезавантаження сторінки

Як виправити змішаний вміст?

Після установки SSL сертифікату, необхідно обов'язково перевіряти, чи правильно працює веб-сторінка, чи коректно налаштована переадресація, чи всі посилання всередині сайту відкриваються по протоколу https. Для перевірки змішаного контенту рекомендуємо використовувати браузер Google Chrome.

  1. В першу чергу зверніть увагу, як відображається Ваш URL-адресу. Якщо замочок перед адресою зелений - проблем з https-з'єднанням немає. Якщо він перекритий жовтим трикутником, швидше за все, мова йде саме про змішаному вмісті.
  2. У вікні клацніть правою кнопкою миші і перейдіть за посиланням "Перегляд коду елемента». Це ж можна зробити, натиснувши комбінацію клавіш Ctrl + Shift + I.
  3. Внизу вікна браузера з'явиться вікно, перейдіть в останню вкладку Console ( «Консоль»). У ній будуть перераховані проблемні посилання після попередження «Mixed Content: і далі перерахування файлів, які завантажуються по протоколу http», як на прикладі нижче:

Все, що Вам потрібно зробити, - це замінити всі http-посилання на https. Для того, щоб уникнути появи змішаного вмісту при переході на https, рекомендуємо спочатку все посилання всередині сайту оформляти як динамічні. Тоді при переході на https-з'єднання, вони автоматично будуть змінюватися на https-посилання.

Купити SSL сертифікат

Забезпечте захист переданих даних за допомогою SSL сертифікату

Поділитися "Змішане вміст HTTPS: як виправити блокування змішаного контенту?"

Змішане вміст HTTPS: як виправити блокування змішаного контенту?

3.8 (76.12%) Всього оцінок: 67

Що таке змішаний вміст?
Яким буває змішаний контент?
Що ж являє собою змішаний контент?
І, найголовніше, як його позбутися?
Що таке змішаний вміст?
Чому змішаний вміст блокується?
Чому ж виникають проблеми зі змішаним вмістом, і до яких наслідків може це призвести?
Яким буває змішаний контент?
Змішане вміст HTTPS: як виправити блокування змішаного контенту?

Новости

Как создать фото из видео
Кризис заставляет искать дополнительные источники дохода. Одним из таких источников может стать торговля на валютном рынке Форекс. Но чтобы не потерять свои деньги необходимо работать с надежным брокером.

Как оформить группу в вконтакте видео
Дано хотел свой магазин в вк, но не знал с чего начать его делать. Так как хотелось не банальный магазин с кучей ссылок и фото, а красиво оформленный. С меню, с аватаркой. После просмотра видео создал

Как оформить диск малыш от рождения до года из фото и видео
Оформить диск "Малыш от рождения до года" из фото и видео можно совершенно разными способами! Кто-то для достижения данной цели идет на шоу-таланты, кто-то пользуется услугами профессионалов, а кто-то