Что такое смешанный контент?

Смешанное содержимое: Почему вы не должны использовать HTTP-контент на вашем HTTPS-сайте

Содержание

Обновление вашего веб-сайта до протокола Hypertext Transfer Protocol Secure (HTTPS) может защитить его от киберугроз благодаря шифрованию передаваемых данных. После обновления все данные, отправляемые на ваш сайт или с него, будут шифроваться с помощью сертификата Transport Layer Security (TLS). Сертификат TLS, по сути, скремблирует данные при передаче, чтобы их могли расшифровать только соответствующие пользователи.

Однако даже если на вашем сайте установлен и активирован сертификат TLS, он может использовать для загрузки некоторые из своих ресурсов. содержание через соединение по протоколу передачи гипертекста (HTTP). Этот недостаток дизайна, известный как смешанное содержимое, создает несколько проблем для вашего сайта.

Что такое смешанный контент?

Смешанное содержимое подразумевает, что веб-страница HTTPS загружает часть своего содержимого через HTTP-соединение. Веб-страницы, как правило, состоят не только из гипертекста Разметка Язык (HTML) файл; они могут содержать изображениявидео, скрипты, таблицы стилей и другие типы контента. Если веб-страница HTTPS загружает любое свое содержимое через HTTP-соединение, она имеет смешанное содержимое.

Существует два основных типа смешанного контента, встречающегося на веб-сайтах: пассивный и активный. Первый состоит из HTTP-загруженного контента, который не взаимодействует с веб-страницей, на которой он опубликован, в то время как второй состоит из HTTP-загруженного контента, который взаимодействует с веб-страницей, на которой он опубликован.

Изображения и видео не взаимодействуют с веб-страницами, поэтому они классифицируются как пассивный смешанный контент. Скрипты и таблицы стилей, с другой стороны, могут изменять макет или функциональность веб-страниц, поэтому они классифицируются как активный смешанный контент.

Что Причины Смешанное содержание?

В большинстве случаев смешанное содержание является результатом неполного миграция с HTTP на HTTPS. Когда вы переводите свой сайт на HTTPS, вы должны изменить параметр URL-адреса загруженного содержимого, чтобы они имели префикс "https". Например, если изображение находится по адресу "http://example.com/category/image-name.jpg", вам нужно изменить его местоположение на "https://example.com/category/image-name.jpg".

Добавление одной буквы к местоположению изображения может показаться незначительным, но оно указывает вашему сайту загружать это изображение через HTTPS-соединение. Если изображение использует стандартный префикс "http" в своем расположении адресвместо этого он будет загружаться для посетителей через HTTP-соединение.

Разумеется, это правило применимо ко всем формам контента, который пользователи должны загрузить при посещении вашего сайта. Каждый фрагмент загружаемого содержимого имеет URL-адрес, указывающий его местоположение. Для полного перехода с HTTP на HTTPS вы должны обновить все эти URL. В противном случае на вашем сайте будет смешанное содержимое.

Опасности смешанного содержания

Если оставить смешанный контент незамеченным, это может привести к многочисленным проблемам. Для начала, это может помешать вашему сайту отображать значок защищенного замка рядом с его домен название. Веб-страницы со смешанным содержимым используют смесь соединений HTTP и HTTPS, поэтому они не являются полностью безопасными. При загрузке страницы со смешанным содержимым посетители увидят в адресной строке браузера сообщение "небезопасно", а не значок безопасного замка.

Веб-браузеры часто блокируют смешанный контент по умолчанию. Например, Firefox по умолчанию автоматически блокирует все активное смешанное содержимое, а Chrome по умолчанию блокирует как активное, так и пассивное смешанное содержимое. Посетители все еще могут получить доступ к смешанному контенту на вашем сайте, но им придется выбрать в своем браузере опцию загрузки небезопасного контента. Однако, поскольку веб-браузеры предупреждают пользователей об опасности смешанного содержимого, большинство пользователей, скорее всего, покинут ваш сайт, а не позволят ему загрузиться.

Поскольку он загружается через HTTP-соединение, смешанное содержимое делает ваш сайт уязвимым для взлома. HTTPS предназначен для создания безопасного соединения между вашим сайтом и пользователями, которые его посещают. Когда пользователь скачивает данные с вашего сайта или загружает их на него, HTTPS шифрует их. Смешанный контент загружается через HTTP-соединение, поэтому обмен данными, связанный с ним, не шифруется.

Активный смешанный контент - это серьезный риск для безопасности, который хакеры могут использовать в злонамеренных целях. Если хакер прослушивает связь между посетителями вашего сайта и фрагментом активного смешанного контента, он может изменить внешний вид или функциональность вашего сайта. Форма входа в систему на основе сценария может быть заменена на поддельную форму входа, которая похищает учетные данные посетителей, или весь ваш сайт может быть перенаправлен на вредоносный спам-сайт.

Пассивный смешанный контент вызывает меньше опасений, поскольку он не взаимодействует с веб-страницами, но, тем не менее, его следует стараться избегать. Например, изображения, загружаемые через HTTP-соединение, могут быть изменены. Хакер может заменить изображение на вашем сайте рекламой. Вместо реального изображения пользователи при загрузке веб-страницы увидят рекламу хакера.

Наконец, смешанный контент может негативно повлиять на рейтинг вашего сайта поиск Ранжирование. HTTPS - это прямой сигнал ранжирования, используемый алгоритмом Google. Смешанный контент нарушает HTTPS, загружая часть содержимого через HTTP-соединение. HTML-файлы по-прежнему могут загружаться через HTTPS-соединение, но смешанный контент будет использовать небезопасный протокол, в котором отсутствует технология шифрования HTTPS. Поэтому Google может понизить рейтинг вашего сайта, если он содержит смешанный контент.

Как определить смешанный контент на вашем сайте

Вы можете обнаружить смешанное содержимое на своем сайте, просто посетив его веб-страницы и обнаружив предупреждающее сообщение в своем веб-браузере. Рекомендуется использовать для этой цели браузер Chrome, поскольку этот браузер под брендом Google блокирует как пассивное, так и активное смешанное содержимое. Если страница содержит смешанное содержимое, Chrome заблокирует ее, отобразив предупреждающее сообщение рядом с адресной строкой. Просмотрите каждую веб-страницу на вашем сайте, чтобы определить который вызывают предупреждение о смешанном содержимом.

Более простой способ выявить смешанное содержимое на вашем сайте - использовать инструмент HTTPS-checker от JitBit. Доступный по адресу jitbit.com/sslcheck, он позволяет ползти до 400 страниц вашего сайта в поисках смешанного содержимого. Если на вашем сайте есть смешанный контент, инструмент JitBit выявит его.

Каждый загружаемый контент на вашем сайте должен использовать HTTPS-соединение. Если любой контент загружается через HTTP-соединение, ваш сайт будет иметь смешанный контент, что вредит его посещаемости, безопасности и рейтингу.