Contenuti Misti

Quando un utente visita una pagina servita via HTTPS, la connessione con il server web è crittografata con SSL e quindi protetta da sniffer e attacchi man-in-the-middle. Se la pagina HTTPS include contenuti recuperati attraverso richieste HTTP regolari (non crittografate), la connessione risulterà solo parzialmente criptata: il contenuto non crittografato è accessibile a sniffer e potrebbe essere modificato da attacchi man-in-the-middle. In questo caso la connessione non è più considerata protetta. Quando una pagina web presenta questo comportamento si parla di una pagina con Contenuto Misto.

Tipi di Contenuto Misto

Esistono due categorie di contenuti misti: contenuti misti passivi e contenuti misti attivi. La differenza è nel livello di minaccia a cui si è esposti nel caso questo contenuto sia modificato da un attacco man-in-the-middle. Nel caso di contenuto passivo la minaccia è bassa (la pagina web potrebbe sembrare malformata o presentare contenuto ingannevole). Nel caso di contenuto attivo, invece, la minaccia può favorire attacchi di phishing, rivelazione di informazioni personali, reindirizzamento a siti malevoli ecc.

Contenuto misto passivo

I contenuti misti passivi sono contenuti inclusi in una pagina HTTPS ma serviti tramite HTTP; questi contenuti, tuttavia, non possono modificare altre parti della pagina. Ad esempio, un attaccante potrebbe sostituire un'immagine servita tramite HTTP con un'immagine ingannevole, non appropriata oppure contenente un messaggio per l'utente. L'attaccante potrebbe, inoltre, ottenere informazioni relative a quali pagine web l'utente sta visitando controllando quali immagini egli ha visualizzato, dal momento che una immagine è generalmente visualizzate in una specifica pagina di un sito web.

Esempi di contenuto passivo

Questa sezione elenca alcuni tipi di richieste HTTP che sono considerati contenuti passivi:

  • <audio> (attributo src)
  • <img> (attributo src)
  • <video> (attributo src)
  • <object> sotto-risorse (quando un <object> esegue richieste HTTP)

Contenuto misto attivo

I contenuti misti attivi sono contenuti che hanno accesso a tutto o parte del DOM (Document Object Model) della pagina HTTPS. Questo tipo di contenuto misto può alterare il comportamento della pagina HTTPS e potenzialmente ottenere dati sensibili dell'utente. Quindi, oltre ai rischi descritti per i contenuti misti passivi, il contenuto misto attivo è vulnerabile ad altri attacchi.

In questo caso un attaccante man-in-the-middle potrebbe intercettare la richiesta per il contenuto attivo e riscrivere la risposta includendo codice JavaScript malevolo. Il contenuto attivo malevolo potrebbe quindi ottenere le credenziali dell'utente, acquisire dati sensibili o tentare di installare malware sul sistema (sfruttando vulnerabilità nel browser o dei suoi plug-in, ad esempio).

Il rischio legato al contenuto misto attivo dipende dal tipo di sito web che l'utente sta visitando e dalla sensibilità dei dati presenti su di esso. La pagina web potrebbe avere dati pubblici visibili al pubblico oppure dati privati ​​visibili solamente quando l'utente è autenticato. Se il sito è pubblico e non contiene dati sensibili relativi all'utente, il contenuto misto attivo può comunque consentire a un attaccante di reindirizzare l'utente ad altre pagine HTTP oppure di ottenere i cookie HTTP.

Esempi di contenuto attivo

Questa sezione elenca alcuni tipi di richieste HTTP che sono considerati contenuti attivi:

Messaggi di avviso nella Console Web

Quando una pagina del sito presenta questo problema, la console Web di Firefox visualizza un messaggio di avvertimento di "Contenuto Misto" ("Mixed Content"). La risorsa classificata come contenuto misto è quindi visualizzata in rosso, affiancata alla dicitura "Contenuto Misto" ("Mixed Content") che rimanda a questa pagina.

Screen shot of the web console displaying a mixed content warning.

Per correggere il problema, le richieste a contenuti HTTP devono essere rimosse e sostituite con richieste a contenuti via HTTPS. Alcuni esempi comuni di contenuto misto sono: file JavaScript, fogli di stile CSS, immagini, video e altri media.

A partire da Firefox 23, il contenuto misto attivo è bloccato di default (mentre il contenuto misto passivo può essere bloccato impostando una preferenza). Per rendere più facile per gli sviluppatori web individuare eventuali errori, tutte le richieste a contenuti misti vengono registrate nel pannello Sicurezza della Console Web.

A screenshot of blocked mixed content errors in the Security Pane of the Web Console

 

Vedi anche

 

 

Tag del documento e collaboratori

 Hanno collaborato alla realizzazione di questa pagina: sharq, Astio_k, slusenti, Turkish
 Ultima modifica di: sharq,