Zawartość mieszana: Dlaczego nie powinieneś używać treści HTTP na swojej stronie HTTPS

Zaktualizowanie witryny do standardu HTTPS (Hypertext Transfer Protocol Secure) może chronić ją przed cyberzagrożeniami dzięki szyfrowaniu danych w trakcie ich przesyłania. Po aktualizacji wszelkie dane przesyłane do witryny lub przez nią będą szyfrowane za pomocą certyfikatu Transport Layer Security (TLS). Certyfikat TLS zasadniczo szyfruje dane w trakcie ich przesyłania, dzięki czemu mogą być one odszyfrowane tylko przez odpowiednich użytkowników.

Nawet jeśli witryna ma zainstalowany i aktywowany certyfikat TLS, może ona jednak wykorzystywać część swojego treść przez połączenie Hypertext Transfer Protocol (HTTP). Wada projektowa znana jako zawartość mieszana, stwarza kilka problemów dla Twojej witryny.

Co to jest zawartość mieszana?

Zawartość mieszana polega na tym, że strona internetowa HTTPS ładuje część swojej zawartości przez połączenie HTTP. Strony internetowe zazwyczaj składają się z czegoś więcej niż tylko z hipertekstu Markup Język HTML (HTML); mogą one zawierać zdjęciafilmy, skrypty, arkusze stylów i inne rodzaje treści. Jeśli strona internetowa HTTPS ładuje część swojej zawartości za pośrednictwem połączenia HTTP, ma zawartość mieszaną.

Istnieją dwa podstawowe rodzaje treści mieszanych występujących w witrynach internetowych: pasywne i aktywne. Pierwsze z nich to treści ładowane przez HTTP, które nie wchodzą w interakcję ze stroną, na której są publikowane, natomiast drugie to treści ładowane przez HTTP, które wchodzą w interakcję ze stroną, na której są publikowane.

Obrazy i filmy nie wchodzą w interakcję ze stronami internetowymi, więc są klasyfikowane jako pasywna zawartość mieszana. Z kolei skrypty i arkusze stylów mogą zmieniać układ lub funkcjonalność stron internetowych, dlatego zalicza się je do aktywnej zawartości mieszanej.

Co Przyczyny Zawartość mieszana?

W większości przypadków mieszana treść jest wynikiem niekompletnego migracja z protokołu HTTP na HTTPS. Podczas migracji witryny do protokołu HTTPS należy zmienić ustawienie Adresy URL wczytanej zawartości, tak aby zawierała prefiks "https". Na przykład, jeśli obraz znajduje się pod adresem "http://example.com/category/image-name.jpg", należy zmienić jego lokalizację na "https://example.com/category/image-name.jpg".

Dodanie pojedynczej litery do lokalizacji obrazu może wydawać się nieistotne, ale dzięki temu witryna będzie ładować ten obraz za pośrednictwem połączenia HTTPS. Jeśli obrazek w swojej lokalizacji używa standardowego prefiksu "http" adreszamiast tego załaduje się dla odwiedzających za pośrednictwem połączenia HTTP.

Zatrudnij Konsultanta SEO

Oczywiście zasada ta dotyczy wszystkich form treści, które użytkownicy muszą załadować, gdy odwiedzają Twoją witrynę. Każdy element ładowanej treści ma adres URL określający jego lokalizację. Aby migracja z protokołu HTTP na HTTPS była kompletna, należy zaktualizować wszystkie te adresy URL. W przeciwnym razie w witrynie będą znajdować się mieszane treści.

Niebezpieczeństwa związane z treściami mieszanymi

Pozwalanie na niezauważanie treści mieszanych może prowadzić do wielu problemów. Po pierwsze, może uniemożliwić wyświetlanie ikony bezpiecznej kłódki obok witryny. domena nazwa. Strony z mieszaną zawartością wykorzystują zarówno połączenia HTTP, jak i HTTPS, dlatego nie są w pełni bezpieczne. Po załadowaniu strony z mieszaną zawartością w pasku adresu przeglądarki zamiast ikony bezpiecznej kłódki pojawi się komunikat "not secure".

Przeglądarki internetowe często domyślnie blokują treści mieszane. Na przykład Firefox domyślnie automatycznie blokuje wszystkie aktywne treści mieszane, natomiast Chrome domyślnie blokuje zarówno aktywne, jak i pasywne treści mieszane. Odwiedzający nadal mogą uzyskać dostęp do treści mieszanych na Twojej stronie, ale będą musieli wybrać w przeglądarce opcję ładowania treści niezabezpieczonych. Ponieważ jednak przeglądarki internetowe ostrzegają użytkowników o niebezpieczeństwach związanych z treściami mieszanymi, większość z nich prawdopodobnie opuści Twoją witrynę, zamiast pozwolić na jej załadowanie.

Ponieważ witryna ładowana jest za pomocą połączenia HTTP, mieszana zawartość sprawia, że jest ona podatna na ataki hakerów. Protokół HTTPS ma na celu stworzenie bezpiecznego połączenia między witryną a odwiedzającymi ją użytkownikami. Gdy użytkownik pobiera dane z witryny lub wysyła je na nią, protokół HTTPS szyfruje je. Zawartość mieszana ładuje się przez połączenie HTTP, więc wszelkie dane wymieniane w ramach tego połączenia nie są szyfrowane.

Aktywna zawartość mieszana stanowi poważne zagrożenie bezpieczeństwa, które hakerzy mogą wykorzystać do złych celów. Jeśli haker wykorzysta połączenie między odwiedzającymi witrynę a aktywną treścią mieszaną, może zmienić wygląd lub funkcjonalność witryny. Formularz logowania oparty na skrypcie może zostać zmieniony na fałszywy formularz logowania, który wykrada dane uwierzytelniające odwiedzającego, lub cała witryna może zostać przekierowana do witryny spamowej.

Pasywne treści mieszane stanowią mniejszy problem, ponieważ nie wchodzą w interakcje ze stronami WWW, ale mimo to należy starać się ich unikać. Na przykład obrazy ładowane za pośrednictwem połączenia HTTP mogą zostać zmienione. Haker może zastąpić obrazek w witrynie reklamą. Zamiast rzeczywistego obrazu, użytkownicy po załadowaniu strony zobaczą reklamę hakera.

Ponadto mieszane treści mogą negatywnie wpływać na wyniki witryny szukaj rankingi. HTTPS jest bezpośredni sygnał rankingowy stosowany przez algorytm Google. Zawartość mieszana łamie protokół HTTPS, ładując niektóre treści przez połączenie HTTP. Pliki HTML mogą być nadal ładowane przez połączenie HTTPS, ale mieszana zawartość będzie używać niezabezpieczonego protokołu, który nie posiada technologii szyfrowania HTTPS. Dlatego Google może obniżyć ranking witryny, jeśli ma ona mieszaną zawartość.

Jak rozpoznać mieszane treści na stronie internetowej

Treści mieszane w witrynie można znaleźć po prostu odwiedzając jej strony internetowe i szukając komunikatu ostrzegawczego w przeglądarce internetowej. W tym celu zaleca się korzystanie z Chrome, ponieważ przeglądarka Google blokuje zarówno pasywne, jak i aktywne treści mieszane. Jeśli strona zawiera treści mieszane, Chrome zablokuje ją, wyświetlając komunikat ostrzegawczy w pobliżu paska adresu. Przejrzyj każdą stronę internetową w swojej witrynie, aby określić który wywołują komunikat ostrzegawczy o mieszanej zawartości.

Łatwiejszym sposobem na zidentyfikowanie mieszanej zawartości witryny jest użycie narzędzia HTTPS-checker firmy JitBit. Jest ono dostępne pod adresem jitbit.com/sslcheck i umożliwia czołgać się do 400 stron Twojej witryny w poszukiwaniu treści mieszanych. Jeśli w witrynie występują treści mieszane, narzędzie JitBit ujawni je.

Każda treść ładowana na Twojej witrynie musi korzystać z połączenia HTTPS. Jeśli jakakolwiek treść ładowana jest przez połączenie HTTP, witryna będzie zawierała mieszane treści, co negatywnie wpłynie na jej ruch, bezpieczeństwo i rankingi.

Co to jest zawartość mieszana?

Ostatnio aktualizowany w 2022-12-28T09:44:55+00:00 przez. Łukasz Żelezny

Indeks