MDN wants to learn about developers like you: https://qsurvey.mozilla.com/s3/MDN-dev-survey

Gdy użytkownik odwiedza stronę z użyciem protokołu HTTPS, połączenie z serwerem WWW jest szyfrowane przy użyciu protokołu TLS, a tym samym chronione przed podsłuchem i atakami typu man-in-the-middle.

Jeśli strona HTTPS zawiera treści pobrane poprzez zwykłe nie szyfrowane połączenie HTTP, wtedy jest tylko częściowo szyfrowana: niezaszyfrowana treść jest może być podsłuchana i modyfikowana przez pośredników a więc połączenie nie jest w pełni bezpieczne. Mówimy wtedy, że strona zawiera mieszaną treść.

Rodzaje stron z mieszaną zawartością

Są dwie kategorie dla zawartości mieszanej: mieszana pasywna / tylko wyświetlana i mieszana aktywna. Różnica leży w poziomie zagrożenia. W najgorszym przypadku, treść może być zmieniona jako część ataku man-in-the-middle (pośrednika). W przypadku pasywnej treści, zagrożenie jest niewielkie (strona wygląda na uszkodzoną lub zawierającą błąd w treści). W przypadku aktywnej zawartości, zmiana treści może prowadzić do phishingu, ujawnienia wrażliwych danych, przekierowania do zainfekowanych stron, itp.

Zawartość mieszana pasywna / tylko wyświetlana

Zawartosc mieszana pasywna / tylko wyświetlana jest wysyłana przez protokół HTTP, który jest zawarty w stronie HTTPS, nie wpływając na inne części strony. Na przykład, osoba atakująca może zastąpić obraz wysyłany przez HTTP na inny lub na tekstową wiadomość do użytkownika. Atakujący może także podejrzeć aktywność użytkownika oglądając zdjęcia wysyłane do niego z serwera. Często obrazy są umieszczone tylko na konkretnej stronie w witrynie. W ten sposób obserwując transakcje HTTP może określić, które strony internetowe z witryny użytkownik odwiedza.

Lista zawartości pasywnej

Ta sekcja zawiera listę wszystkich typów żądań HTTP, które są uznawane za treść pasywną:

Zawartość mieszana aktywna

Zawartość mieszana aktywna jest zawartością, która ma dostęp do całości lub części DOM (Document Object Model) strony HTTPS. Ten typ treści mieszanej może zmienić zachowanie strony HTTPS i potencjalnie kradzieży od użytkownika poufnych danych. Dlatego też, ponad zagrożenia opisane dla zawartości miesznej pasywnej powyżej, zawartość mieszana aktywna jest podatna na kilka innych rodzajów ataków.

W przypadku zawartości mieszanej aktywnej atakujący pośrednik (man-in-the-middle) może przechwycić zapytanie o zawartości HTTP. Atakujący może także zmienić odpowiedź wprowadzając złośliwy kod JavaScript. Złośliwa zawartość aktywna może przejąć dane logowania użytkownika, zbierac poufne dane o użytkowniku, lub próbować instalować złośliwe oprogramowanie na komputerze użytkownika (np. poprzez wykorzystanie luk w zabezpieczeniach przeglądarki lub jej wtyczek).

Ryzyko związane z zawartością mieszaną zależy od rodzaju witryny którą użytkownik odwiedza i od tego jak poufne dane może na stronie wprowadzić. Na stronie mogą być wyświetlane dane publiczne widoczne dla wszystkich lub dane prywatne widoczne tylko wtedy, gdy użytkownik jest zalogowany. Jeśli strona jest publiczna i nie ma żadnych poufnych danych o użytkowniku ale korzysta z zawartości aktywnej miesznej to wciąż daje atakującemu możliwość przekierowania użytkownika do innych stron HTTP i kradzież ciasteczek HTTP z tych witryn.

Lista zawartości aktywnej

Ta sekcja zawiera listę niektórych typów żądań HTTP, które są uważane za treść aktywną:

Inne typy zasobów takie jak web fonts i workers mogą być również uważane za zawartość aktywną mieszaną, np. w Chromium.

Ostrzeżenia w konsoli przeglądarki

Konsola przeglądarki Firefox wyświetla komunikat ostrzegawczy o treści mieszanej w zakładce "Sieć", gdy strona ma opisany powyżej problem w swojej zawartości. Zasób z mieszaną zawartością, który został załadowany przez HTTP pojawi się na czerwono wraz z tekstem "treści mieszane" oraz linkiem do tej strony.

Zrzut ekranu z konsoli internetowej wyświetlania zawartości mieszanej ostrzeżenie.

Aby naprawić ten błąd, wszystkie zapytania o zawartość HTTP powinny być usunięte i zastąpione zapytaniami o treść z użyciem protokołu HTTPS. Niektóre typowe przykłady zawartości mieszanej to pliki JavaScript, arkusze stylów, obrazy oraz filmy i inne multimedia.

Od Firefoksa w wersji 23, zawartość mieszana aktywna jest domyślnie blokowana (a treść mieszana pasywna może być zablokowana przez zmiana ustawień przeglądarki). Aby ułatwić twórcom stron znalezienie błędy zawartości mieszanej, wszystkie zablokowane żądania są logowane do panelu bezpieczeństwa konsoli internetowej.

Zrzut ekranu zablokowanych błędów mieszane treści w okienku Bezpieczeństwa konsoli internetowej

Zobacz też

 

Autorzy i etykiety dokumentu

 Autorzy tej strony: rszalski, michal.m, wyrewolwerowany
 Ostatnia aktualizacja: rszalski,