We're looking for a user researcher to understand the needs of developers and designers. Is this you or someone you know? Check out the post: https://mzl.la/2IGzdXS

Перевод не завершен. Пожалуйста, помогите перевести эту статью с английского.

Когда пользователь заходит на страницу по HTTPS, его соединение с веб-сервером зашифровано с помощью TLS и защищено от перехватчиков и атак типа «человек посередине».

Если страница, переданная по HTTPS, содержит контент, передаваемый по обычному, открытому HTTP, соединение считается частично зашифрованным: то, что передаётся по HTTP, можно перехватить и изменить, вследствие чего соединение уже не считается защищённым. Такие страницы называются страницами со смешанным содержимым.

Консоль разработчика

Начиная с Firefox 16, Консоль разработчика показывает предупреждение о смешанном содержимом при появлении такового. Содержимое, загруженное по обычному HTTP, подсвечивается красным, а в конце добавляется ссылка на эту страницу.

Скриншот Веб-консоли с предупреждением о смешанном содержимом.

Чтобы избавиться от этой ошибки, нужно перевести все соединения на HTTPS и избавиться от запросов по обычному HTTP.

В Firefox 23 и выше активное смешанное содержимое (например, скрипты) блокируется по умолчанию, а контент для отображения (картинки, видео) может быть заблокирован в настройках. Чтобы помочь разработчикам быстрее найти подобные объекты и быстрее решить проблему, всё заблокированное смешанное содержимое выделяется в разделе «Защита» Веб-консоли.

Скриншот предупреждения-ошибки о заблокированном смешанном содержимом в разделе «Защита» Веб-консоли.

Типы смешанного содержимого.

Смешанное содержимое делится на две группы: Пассивное (отображаемое) содержимое и Активное содержимое. Разница между ними заключается в том, какой урон контент может нанести в случае перехвата и изменения в процессе передачи. Если атаковано пассивное содержимое, риск низкий — нарушится лишь отображение страницы. Если же атаке подвергнется активный контент, риск станет высоким — атакующий может выдать поддельный сайт, украсть личные данные, перенаправить на небезопасный сайт и т.д.

Пассивное смешанное содержимое

Пассивное смешанное содержимое это содержимое, отправленное по HTTP, содержащееся на странице HTTPS, но которое не может изменить другие части страницы. Например, атакующий может подменить картинку, отправленную по HTTP, на непристойное содержимое или сообщение пользователю. Атакующий так же может просматривать активность пользователя, наблюдая, какие изображения отправляются пользователю. Зная, какие картинки загружает пользователь, злоумышленник может выяснить, какие страницы пользователь посещает.

Список пассивного смешанного контента

Здесь описаны все возможные элементы пассивного контента:

  • <audio> (атрибут src)
  • <img> (атрибут src)
  • <video> (атрибут src)
  • <object> (когда <object> выполняет запросы по HTTP)

Активное смешанное содержимое

Активное смешанное содержимое имеет достук ко всему дереву DOM или его части. Этот тип может изменить поведение страницы, защищённой HTTPS, и, теоретически, украсть пароли у пользователя. В отличие от пассивного контента, активный уязвим гораздо сильнее.

В случае с активным смешанным содержимым, атакующий может перехватить запрос, записав туда нежелательный код JavaScript, способный украсть личные данные пользователя или установить опасное программное обеспечение, используя уязвимости в плагинах.

Риск, связанный с активным контентом, не зависит от типа сайта и насколько ценные данные вводит на нём пользователь. На странице можеть быть как общедоступная информация, так и данные, доступные только после авторизации. Даже если страница общедоступна и не содержит никаких ценных данных, с помощью активного контента злоумышленник может перенаправить пользователя на другие страницы и украсть оттуда cookies.

Список активного содержимого

Ниже описаны элементы, относящиеся к активному содержимому:

Предупреждения в консоли

Веб-консоль Firefox отображает предупреждение о смешанном содержании в панели «Сеть», когда страница на вашем веб-сайте имеет эту проблему. Ресурс смешанного контента, загруженный через HTTP, будет отображаться красным цветом вместе с текстом «смешанный контент», который ссылается на эту страницу.

 

A screenshot of blocked mixed content errors in the Security Pane of the Web Console

 

 

Помимо обнаружения этих предупреждений в веб-консоли, вы можете использовать политику безопасности контента (CSP) для отчета о проблемах или искателя веб-сайта для поиска проблем на вашем сайте, таких как HTTPS Checker или Mixed Content Scan.

Начиная с Firefox 23, смешанное активное содержимое блокируется по умолчанию (и смешанный контент отображения может быть заблокирован, установив предпочтение). Чтобы веб-разработчики упрощали поиск ошибок смешанного содержимого, все заблокированные запросы смешанного контента регистрируются на панели «Безопасность» веб-консоли, как показано ниже:

A screenshot of blocked mixed content errors in the Security Pane of the Web Console

Чтобы устранить этот тип ошибки, все запросы на HTTP-контент должны быть удалены и заменены содержимым, переданным через HTTPS. Некоторые распространенные примеры смешанного контента включают в себя файлы JavaScript, таблицы стилей, изображения, видео и другие медиа файлы.

 

 

См. также

 

Метки документа и участники

Внесли вклад в эту страницу: Paul_Yuhnovich, aadm2014, startup96, namikiri, Aleksej
Обновлялась последний раз: Paul_Yuhnovich,