- Що таке змішаний вміст?
- Internet Explorer:
- Google Chrome:
- Mozilla Firefox:
- Чому змішаний вміст блокується?
- Яким буває змішаний контент?
- Пасивне змішаний вміст
- Види пасивного змішаного контенту:
- Як виправити змішаний вміст?
Іноді виникає наступна ситуація: ви замовили довірений SSL сертифікат, пройшли перевірку центром сертифікації, встановили сертифікат на сервер. Все зробили вірно, але при спробі перейти на ваш ресурс, браузер видає помилку: «Не вдалося завантажити сайт, заблоковано завантаження змішаного активного вмісту». Або ж, як варіант, веб-сайт завантажується, але замість закритого замка в адресному рядку браузера показує жовтий трикутник і повідомляє про те, що з'єднання зашифровано тільки частково. Причина цих проблем - змішаний вміст або змішаний контент (в англійському варіанті - mixed content) на вашому сайті.
Що ж являє собою змішаний контент? І, найголовніше, як його позбутися?
Що таке змішаний вміст?
Всі ми знаємо, що при відвідуванні веб-сайту, на якому клієнт планує ввести будь-які особисті дані, будь-то логін і пароль, ПІБ, електронний або просту адресу, номери кредитних карт і інше, слід звертати увагу, захищена ця сторінка SSL сертифікатом . На це вказують деякі візуальні ознаки:
- URL-адресу веб-сайту починається з розширення https, а не http (наприклад, https://emaro-ssl.ru)
- В адресному рядку браузера відображається іконка закритого замка (найчастіше зеленого кольору)
- Добре, якщо на сайті встановлена друк захисту або Site Seal (але її додавання опціонально, тому її відсутність не завжди говорить про відсутність SSL сертифікату)
- Якщо на сайт встановлений SSL сертифікат з розширеною перевіркою , Зелена рядок буде містити і назва компанії-власника домену на зеленому тлі.
Проте, в деяких випадках виникають проблеми з відображенням вмісту сайту при наявності змішаного вмісту: наприклад, в Google Chrome в адресному рядку замість зеленого замку показується замок, перекритий жовтим трикутником. У Mozilla Firefox замість замку показується трикутник зі знаком оклику, як на картинці нижче.
Крім того, у вікні браузера може з'являтися повідомлення про те, що веб-сторінка містить змішаний вміст і інформація відображається частково, або повністю заблокована і не відображається взагалі. В кожному браузері повідомлення про змішаному контенті може показуватися по-різному, але суть одна - користувач отримує попередження і не зможе переглянути весь вміст сторінки, що, відповідно, робить негативний вплив на конверсію сайту в цілому.
Internet Explorer:
Internet Explorer повідомляє, що відображено тільки безпечне вміст сайту, надане через безпечний протокол https. У вас є можливість відобразити весь контент сторінки натисканням кнопки "Show all content" ( «показати все вміст»).
Google Chrome:
Браузер Google Chrome пише, що дана сторінка містить скрипт з неперевіреного джерела. Ви можете завантажити весь вміст сайту, натиснувши на посилання "Load unsafe content" ( "Завантажити небезпечне вміст)".
Mozilla Firefox:
Mozilla Firefox також блокує небезпечне наповнення, проте інформує, що більшість веб-сайтів продовжують працювати, незважаючи на заблокований вміст.
Якщо ви бачите одне з цих попереджень, це означає, що, незважаючи на встановлений SSL сертифікат, з'єднання не може бути повністю захищене, так як деякі файли завантажується по http-каналу. Відповідно, ця інформація може бути переглянута або змінена третіми особами. Тому на сайтах зі змішаним вмістом не рекомендується залишати особисту інформацію, таку як, наприклад, банківські та паспортні дані, логіни і паролі, адреси і так далі.
Чому змішаний вміст блокується?
По суті, змішаний вміст або змішаний контент - це змішані скрипти протоколів https і http. Справа в тому, що якщо не всі наповнення сайту складається з файлів, що завантажуються по протоколу https, і на сторінці є частина контенту, що завантажується по протоколу http, то таке з'єднання може бути захищене тільки частково. В результаті, здавалося б безпечне з'єднання є не зовсім безпечним.
Чому ж виникають проблеми зі змішаним вмістом, і до яких наслідків може це призвести?
SSL сертифікат гарантує захищене https-з'єднання. Відповідно, при встановленому SSL сертифікаті сторінки веб-сайту повинні завантажуватися тільки по протоколу https. Якщо використовувати на безпечному сайті також частини контенту по http, з'являються прогалини в безпеці з'єднання між веб-сайтом і Інтернет користувачем. Отже, шахраї або просто треті особи, зацікавлені в отриманні конфіденційних даних, можуть замінити частини сайту з http на навмисно змінену інформацію і тим самим скомпрометувати веб-сторінку. Отримавши особисту інформацію відвідувачів, її можуть використовувати в своїх корисливих цілях.
Яким буває змішаний контент?
Існує два види змішаного вмісту: активне і пасивне. Різниця між ними полягає в тому, як шахрай може використовувати ту чи іншу частину сторінки і якими можуть бути наслідки для користувачів. Давайте розберемося докладніше:
Пасивне змішаний вміст
Пасивне змішаний вміст (від англ. Mixed passive content або Mixed display content) - частина сторінки, яка відображається на сайті, несе в собі будь-яку інформацію, але безпосередньо не впливає на функціонування сайту. Пасивний змішаний контент з'являється, коли на захищеній веб-сторінці завантажується картинка, відеозапис, звуковий файл або об'єкт через http протокол. Шахраї можуть замінити відповідну частину контенту дезориентирующей інформацією, що містить cookie-файли, і таким чином зможуть збирати інформацію про переміщення користувача на сторінках. Картинку на сайті потенційно можуть замінити іншим зображенням, що містить неправдиву інформацію або будь-якої заклик до користувача.
Більшість браузерів не блокують повністю весь вміст пасивного типу, а попереджають про присутність такої інформації на сайті у вигляді спеціального знака, як це було показано на прикладах вище. Такий вид змішаного вмісту зустрічається дуже часто на різних веб-сайтах.
Попередження про змішаному пасивному вмісті на Google Chrome виглядає так:
Види пасивного змішаного контенту:
- src атрибут <audio> - звуковий файл
- src атрибут <img> - зображення
- src атрибут <video> - відеозапис
- субресурси <object> - запит будь-яких файлів веб-сайту по http
Активне змішаний вміст
Активне змішаний вміст (від англ. Mixed Active Content) - набагато небезпечніша тип змішаного контенту. В даному випадку через небезпечний http протокол завантажуються файли, які можуть вносити зміни на сторінці, що завантажується по https-з'єднанню, і потенційно вкрасти особисті дані, що вводяться користувачами. Таким чином, разом з описаними вище ризиками, яким піддає безпеку сторінки пасивний контент, активне змішаний вміст тягне за собою і інші, більш небезпечні загрози. Так, з його допомогою шахрай може перехопити запит на http контент або змінити відповідь сервера, додавши в нього шкідливий код JavaScript, який в свою чергу може вкрасти ім'я користувача і пароль, отримати особисті дані або спробувати встановити шкідливе ПЗ на операційній системі користувача.
Більшість браузерів блокує активну змішаний вміст. До нього належать такі http запити:
- data атрибут <object> - вибір файлу, який відображається на сторінці
- href атрибут <link> - витікаючі посилання
- src атрибут <script> - файл скрипта
- src атрибут <iframe> - файл, що відображається у фреймі
- атрибут XMLHttpRequest - об'єкт, за допомогою якого JavaScript робить http-запити до сервера без перезавантаження сторінки
Як виправити змішаний вміст?
Після установки SSL сертифікату, необхідно обов'язково перевіряти, чи правильно працює веб-сторінка, чи коректно налаштована переадресація, чи всі посилання всередині сайту відкриваються по протоколу https. Для перевірки змішаного контенту рекомендуємо використовувати браузер Google Chrome.
- В першу чергу зверніть увагу, як відображається Ваш URL-адресу. Якщо замочок перед адресою зелений - проблем з https-з'єднанням немає. Якщо він перекритий жовтим трикутником, швидше за все, мова йде саме про змішаному вмісті.
- У вікні клацніть правою кнопкою миші і перейдіть за посиланням "Перегляд коду елемента». Це ж можна зробити, натиснувши комбінацію клавіш Ctrl + Shift + I.
- Внизу вікна браузера з'явиться вікно, перейдіть в останню вкладку Console ( «Консоль»). У ній будуть перераховані проблемні посилання після попередження «Mixed Content: і далі перерахування файлів, які завантажуються по протоколу http», як на прикладі нижче:
Все, що Вам потрібно зробити, - це замінити всі http-посилання на https. Для того, щоб уникнути появи змішаного вмісту при переході на https, рекомендуємо спочатку все посилання всередині сайту оформляти як динамічні. Тоді при переході на https-з'єднання, вони автоматично будуть змінюватися на https-посилання.
Купити SSL сертифікат
Забезпечте захист переданих даних за допомогою SSL сертифікату
Поділитися "Змішане вміст HTTPS: як виправити блокування змішаного контенту?"
Змішане вміст HTTPS: як виправити блокування змішаного контенту?
3.8 (76.12%) Всього оцінок: 67
Яким буває змішаний контент?
Що ж являє собою змішаний контент?
І, найголовніше, як його позбутися?
Що таке змішаний вміст?
Чому змішаний вміст блокується?
Чому ж виникають проблеми зі змішаним вмістом, і до яких наслідків може це призвести?
Яким буває змішаний контент?
Змішане вміст HTTPS: як виправити блокування змішаного контенту?