Смешанное содержимое

Перевод не завершен. Пожалуйста, помогите перевести эту статью с английского.

Когда пользователь заходит на страницу по HTTPS, его соединение с веб-сервером зашифровано с помощью TLS и защищено от перехватчиков и атак типа «человек посередине».

Если страница, переданная по HTTPS, содержит контент, передаваемый по обычному, открытому HTTP, соединение считается частично зашифрованным: то, что передаётся по HTTP, можно перехватить и изменить, вследствие чего соединение уже не считается защищённым. Такие страницы называются страницами со смешанным содержимым.

Консоль разработчика

Начиная с Firefox 16, Консоль разработчика показывает предупреждение о смешанном содержимом при появлении такового. Содержимое, загруженное по обычному HTTP, подсвечивается красным, а в конце добавляется ссылка на эту страницу.

Скриншот Веб-консоли с предупреждением о смешанном содержимом.

Чтобы избавиться от этой ошибки, нужно перевести все соединения на HTTPS и избавиться от запросов по обычному HTTP.

В Firefox 23 и выше активное смешанное содержимое (например, скрипты) блокируется по умолчанию, а контент для отображения (картинки, видео) может быть заблокирован в настройках. Чтобы помочь разработчикам быстрее найти подобные объекты и быстрее решить проблему, всё заблокированное смешанное содержимое выделяется в разделе «Защита» Веб-консоли.

Скриншот предупреждения-ошибки о заблокированном смешанном содержимом в разделе «Защита» Веб-консоли.

Типы смешанного содержимого.

Смешанное содержимое делится на две группы: Пассивное (отображаемое) содержимое и Активное содержимое. Разница между ними заключается в том, какой урон контент может нанести в случае перехвата и изменения в процессе передачи. Если атаковано пассивное содержимое, риск низкий — нарушится лишь отображение страницы. Если же атаке подвергнется активный контент, риск станет высоким — атакующий может выдать поддельный сайт, украсть личные данные, перенаправить на небезопасный сайт и т.д.

Пассивное смешанное содержимое

Пассивное смешанное содержимое это содержимое, отправленное по HTTP, содержащееся на странице HTTPS, но которое не может изменить другие части страницы. Например, атакующий может подменить картинку, отправленную по HTTP, на непристойное содержимое или сообщение пользователю. Атакующий так же может просматривать активность пользователя, наблюдая, какие изображения отправляются пользователю. Зная, какие картинки загружает пользователь, злоумышленник может выяснить, какие страницы пользователь посещает.

Список пассивного смешанного контента

Здесь описаны все возможные элементы пассивного контента:

  • <audio> (атрибут src)
  • <img> (атрибут src)
  • <video> (атрибут src)
  • <object> (когда <object> выполняет запросы по HTTP)

Активное смешанное содержимое

Активное смешанное содержимое имеет достук ко всему дереву DOM или его части. Этот тип может изменить поведение страницы, защищённой HTTPS, и, теоретически, украсть пароли у пользователя. В отличие от пассивного контента, активный уязвим гораздо сильнее.

В случае с активным смешанным содержимым, атакующий может перехватить запрос, записав туда нежелательный код JavaScript, способный украсть личные данные пользователя или установить опасное программное обеспечение, используя уязвимости в плагинах.

Риск, связанный с активным контентом, не зависит от типа сайта и насколько ценные данные вводит на нём пользователь. На странице можеть быть как общедоступная информация, так и данные, доступные только после авторизации. Даже если страница общедоступна и не содержит никаких ценных данных, с помощью активного контента злоумышленник может перенаправить пользователя на другие страницы и украсть оттуда cookies.

Список активного содержимого

Ниже описаны элементы, относящиеся к активному содержимому:

См. также

 

Метки документа и участники

 Внесли вклад в эту страницу: aadm2014, startup96, namikiri, Aleksej
 Обновлялась последний раз: aadm2014,