Det er to typer blandet innhold - det ene er verre enn det andre, men det er heller ikke bra. Blandede innholds advarsler angir at noe er galt med en nettside du besøker.
Hva er blandet innhold?
Alt dette kommer ned til forskjellen mellom HTTP og HTTPS. HTTP er den mest brukte typen tilkobling - når du besøker et nettsted ved hjelp av HTTP-protokollen, er ikke forbindelsen din til nettstedet sikret. Alle som avlyser på trafikken, kan se siden du ser og data du sender frem og tilbake.
Derfor har vi HTTPS, som er bokstavelig talt "HTTP Secure." HTTPS oppretter en sikker forbindelse mellom deg og webserveren. Tilkoblingen er kryptert og godkjent, slik at ingen kan snuse på trafikken din, og du har viss forsikring om at du er koblet til riktig nettside. Dette er ekstremt viktig for å sikre kontopassord og online betalingsdata, slik at ingen kan avlyse på dem.
Blandede innholds advarsler indikerer et problem med en nettside du får tilgang til over HTTPS. HTTPS-tilkoblingen skal være sikker, men nettsidens kildekode drar i andre ressurser med den usikre HTTP-protokollen, ikke HTTPS. Nettleserens adressefelt vil si at du er koblet til HTTPS, men siden laster også ressurser med den usikre HTTP-protokollen i bakgrunnen. For å sikre at du vet at nettsiden du bruker ikke er helt sikker, viser nettlesere en advarsel som sier at siden har både HTTPS- og HTTP-innhold - blandet innhold, med andre ord.
Hvorfor dette er farlig
Her er hvorfor dette faktisk er farlig. La oss si at du er på en betalingsside, og du skal skrive inn kredittkortnummeret ditt. Betalingssiden indikerer at det er en kryptert HTTPS-tilkobling, men du ser et varsel om blandet innhold. Dette bør øke et rødt flagg. Det er mulig at betalingsinformasjonen du oppgir, kunne bli fanget av det usikre innholdet og sendt over en usikker tilkobling, slik at du ikke kan ha fordelen av HTTPS-sikkerhet. Noen kunne avlytte og se dine sensitive data.
Fordi HTTP ikke autentiserer webserveren på samme måte som HTTPS gjør, er det også mulig at et sikkert HTTPS-nettsted som trekker i et skript fra et HTTP-område, kunne bli lurt til å trekke en angripers script og kjøre den på det ellers sikre nettstedet. Når HTTPS brukes, har du flere forsikringer om at innholdet ikke var manipulert og er legitimt.
I begge tilfeller eliminerer dette fordelen av å ha en sikker HTTPS-tilkobling. Det er mulig at et nettsted kan ha en advarsel om usikkerhet og fortsatt sikre dine personlige data på riktig måte, men vi vet ikke sikkert og bør ikke ta risikoen. Det er derfor nettlesere advarer deg når du kommer over et nettsted som ikke er kodet riktig.
Blandet aktivt innhold vs. blandet passivt innhold
Det er faktisk to typer blandet innhold. Den farligere er "blandet aktivt innhold" eller "blandet skripting." Dette skjer når et HTTPS-område laster en skriptfil over HTTP. Skriptfilen kan kjøre hvilken som helst kode på siden den vil, slik at lasting av et skript over en usikker tilkobling ødelegger sikkerheten til gjeldende side. Nettlesere blokkerer vanligvis denne typen blandet innhold helt.
Den andre typen er "blandet passivt innhold" eller "blandet skjerminnhold." Dette skjer når et HTTPS-område laster noe som et bilde eller en lydfil over en HTTP-tilkobling. Denne type innhold kan ikke ødelegge sikkerheten til siden på samme måte, slik at nettlesere ikke reagerer like hardt. Det er imidlertid fortsatt en dårlig sikkerhetspraksis som kan forårsake problemer. For eksempel kan en angriper erstatte bildet med et villedende bilde, og manipulere med en teoretisk sikker side. En forespørsel om bildebelastning inneholder også overskrifter som inneholder informasjon om informasjonskapsler knyttet til et nettsted, slik at selv lasting av et bilde over en usikker tilkobling kan føre til problemer. Nettlesere viser ofte et advarselsikon eller en melding i stedet for å blokkere innholdet helt, da denne type blandet innhold fremdeles er så vanlig på ekte nettsteder. I Chrome ser du en hengelås med en gul trekant.
Hva skal du gjøre når du ser en blandet innholds advarsel
Nettlesere blokkerer vanligvis de farligste typer blandet innhold som standard. Ikke fjern blokkering av det. Hvis du ikke kan logge deg inn på et nettsted eller angi nettbetalingsdetaljer uten å laste inn det blandede innholdet, bør du bare forlate nettstedet og ikke legge inn informasjonen din på et usikkert nettsted. La nettstedseierne vite at deres nettsted er usikkert og ødelagt.
Hvis du ser en advarsel om at en side inneholder andre ressurser som kanskje ikke er sikre, er det sannsynligvis trygt å logge inn uansett. Det er ikke et godt tegn hvis et nettsted som er så viktig som banken din har dette problemet, men denne typen advarsel om blandet innhold er svært vanlig.
På den annen side er blandede innholds advarsler egentlig ikke en stor sak hvis du får tilgang til et nettsted som ikke trenger HTTPS.Alt varslingsmiddel for blandet innhold er at en nettside garantert vil ha nytte av HTTPS-sikkerhet - med andre ord, i verste fall er nettsiden du besøker like usikkert som et standard HTTP-nettsted. Så, hvis du fikk tilgang til et nettsted som Wikipedia bare for å lese noen artikler, og du så en advarsel om blandet innhold, bør du ikke bry deg om det for mye. I verste fall er det like usikkert som om du leser artikler på Wikipedia over en standard HTTP-tilkobling, som du ikke har noe problem å gjøre uansett.
Hvorfor noen nettsider har dette problemet
Du ser bare denne feilen hvis det er et problem med måten en webside er kodet på. Hvis en nettside blir servert over HTTPS, bør den også bruke HTTPS-protokollen for å trekke inn skriptfiler og annet innhold som det krever. Webutviklere bør teste sine nettsider, slik at de ikke utløser skremmende advarsler i brukernes nettlesere. Hvis du er en bruker, kan du egentlig ikke gjøre noe med dette - det er opp til eieren av nettstedet å fikse det.
Hvis du er en webutvikler, er alt du trenger å gjøre, sikre at HTTPS-sidene laster innhold fra HTTPS-nettadresser, ikke HTTP-nettadresser. En måte å gjøre dette på er at hele nettstedet ditt bare fungerer over SSL, så alt bruker bare HTTPS.
Hvis du vil lage en side som kan serveres via HTTP eller HTTPS, og gjør det riktige automatisk, kan du bruke "protokollrelaterte nettadresser" for at brukerens nettleser automatisk velger HTTP eller HTTPS etter behov, avhengig av hvilken protokoll brukeren er tilkoblet til. For eksempel vil en protokoll relativ URL for å laste et bilde se ut
Nettlesere blokkerer automatisk blandet innhold eller din beskyttelse, og det er derfor. Hvis du trenger å bruke en sikker nettside som ikke fungerer riktig, med mindre du aktiverer blandet innhold, må nettstedets eier fikse det.
