Chính xác thì cảnh báo nội dung hỗn hợp là gì?
Trang web này có nội dung không an toàn, chỉ có nội dung bảo mật được hiển thị, xông vào đã chặn nội dung không an toàn. Bạn sẽ thỉnh thoảng gặp những cảnh báo này khi duyệt web, nhưng ý nghĩa chính xác của chúng là gì?
Có hai loại nội dung hỗn hợp - một loại tệ hơn loại kia, nhưng không tốt. Cảnh báo nội dung hỗn hợp là dấu hiệu cho thấy có gì đó không ổn với trang web bạn đang truy cập.
Nội dung hỗn hợp là gì?
Tất cả điều này dẫn đến sự khác biệt giữa HTTP và HTTPS. HTTP là loại kết nối được sử dụng phổ biến nhất - khi bạn truy cập trang web bằng giao thức HTTP, kết nối của bạn với trang web không được bảo mật. Bất cứ ai nghe lén lưu lượng truy cập đều có thể thấy trang bạn đang xem và bất kỳ dữ liệu nào bạn gửi qua lại.
Đó là lý do tại sao chúng tôi có HTTPS, nghĩa đen là Bảo mật HTTP HTTP. HTTPS tạo ra một kết nối an toàn giữa bạn và máy chủ web. Kết nối được mã hóa và xác thực, vì vậy không ai có thể rình mò lưu lượng truy cập của bạn và bạn có một số đảm bảo rằng bạn đã kết nối với trang web chính xác. Điều này cực kỳ quan trọng để bảo mật mật khẩu tài khoản và dữ liệu thanh toán trực tuyến, đảm bảo không ai có thể nghe lén chúng.
Cảnh báo nội dung hỗn hợp cho thấy sự cố với trang web bạn đang truy cập qua HTTPS. Kết nối HTTPS phải được bảo mật, nhưng mã nguồn của trang web đang lấy các tài nguyên khác bằng giao thức HTTP không an toàn, không phải HTTPS. Thanh địa chỉ của trình duyệt web của bạn sẽ cho biết bạn đã kết nối với HTTPS, nhưng trang cũng đang tải tài nguyên với giao thức HTTP không an toàn trong nền. Để đảm bảo bạn biết rằng trang web bạn đang sử dụng không hoàn toàn an toàn, các trình duyệt hiển thị cảnh báo nói rằng trang có cả nội dung HTTPS và HTTP - nói cách khác.
Tại sao điều này là nguy hiểm
Đây là lý do tại sao điều này thực sự nguy hiểm. Giả sử bạn đang ở trang thanh toán và bạn sắp nhập số thẻ tín dụng của mình. Trang thanh toán cho biết đó là kết nối HTTPS được mã hóa, nhưng bạn thấy cảnh báo nội dung hỗn hợp. Điều này sẽ giơ cờ đỏ. Có thể các chi tiết thanh toán bạn nhập có thể bị bắt bởi nội dung không an toàn và được gửi qua kết nối không an toàn, loại bỏ lợi ích của bảo mật HTTPS - ai đó có thể nghe lén và xem dữ liệu nhạy cảm của bạn.
Do HTTP không xác thực máy chủ web theo cách tương tự như HTTPS, nên cũng có thể một trang web HTTPS an toàn lấy tập lệnh từ một trang HTTP có thể bị lừa để kéo tập lệnh của kẻ tấn công và chạy nó trên trang web bảo mật khác. Khi HTTPS được sử dụng, bạn có thêm sự đảm bảo rằng nội dung không bị giả mạo và là hợp pháp.
Trong cả hai trường hợp, điều này giúp loại bỏ lợi ích của việc có kết nối HTTPS an toàn. Có thể một trang web có thể có cảnh báo nội dung không an toàn và vẫn bảo mật dữ liệu cá nhân của bạn đúng cách, nhưng chúng tôi thực sự không biết chắc chắn và không nên mạo hiểm - đó là lý do tại sao trình duyệt web cảnh báo bạn khi bạn gặp một trang web không phải là được mã hóa đúng.
Nội dung hoạt động hỗn hợp so với nội dung thụ động hỗn hợp
Thực tế có hai loại nội dung hỗn hợp. Một điều nguy hiểm hơn là nội dung hoạt động hỗn hợp của Wikipedia hoặc kịch bản hỗn hợp. Hay Điều này xảy ra khi một trang web HTTPS tải một tập lệnh qua HTTP. Tệp tập lệnh có thể chạy bất kỳ mã nào trên trang mà nó muốn, do đó, việc tải tập lệnh qua kết nối không an toàn sẽ phá hỏng hoàn toàn tính bảo mật của trang hiện tại. Các trình duyệt web thường chặn hoàn toàn loại nội dung hỗn hợp này.
Loại thứ hai là nội dung bị động hỗn hợp của Hồi giáo hoặc nội dung hiển thị hỗn hợp. Hay Điều này xảy ra khi một trang web HTTPS tải một cái gì đó như một tệp hình ảnh hoặc âm thanh qua kết nối HTTP. Loại nội dung này không thể phá hỏng tính bảo mật của trang theo cùng một cách, vì vậy trình duyệt web không phản ứng gay gắt. Tuy nhiên, đó vẫn là một thực tiễn bảo mật tồi tệ có thể gây ra vấn đề. Ví dụ, kẻ tấn công có thể thay thế hình ảnh bằng hình ảnh gây hiểu lầm, giả mạo trang an toàn về mặt lý thuyết. Yêu cầu tải hình ảnh cũng chứa các tiêu đề chứa thông tin cookie được liên kết với một trang web, do đó, ngay cả việc tải hình ảnh qua kết nối không an toàn cũng có thể gây ra sự cố. Trình duyệt web thường hiển thị biểu tượng cảnh báo hoặc tin nhắn thay vì chặn hoàn toàn nội dung, vì loại nội dung hỗn hợp này vẫn còn quá phổ biến trên các trang web thực. Trong Chrome, bạn sẽ thấy ổ khóa có hình tam giác màu vàng.
Phải làm gì khi bạn thấy một cảnh báo nội dung hỗn hợp
Các trình duyệt web thường chặn các loại nội dung hỗn hợp nguy hiểm nhất theo mặc định. Đừng bỏ chặn nó. Nếu bạn không thể đăng nhập vào một trang web hoặc nhập chi tiết thanh toán trực tuyến mà không tải nội dung hỗn hợp, bạn chỉ nên rời khỏi trang web và không nhập thông tin của bạn vào một trang web không an toàn. Hãy để chủ sở hữu trang web biết trang web của họ không an toàn và bị hỏng.
Nếu bạn thấy cảnh báo rằng một trang có chứa các tài nguyên khác có thể không an toàn, thì dù sao thì cũng có thể an toàn để đăng nhập. Đó không phải là một dấu hiệu tốt nếu một trang web quan trọng như ngân hàng của bạn có vấn đề này, nhưng loại cảnh báo nội dung hỗn hợp này rất phổ biến.
Mặt khác, cảnh báo nội dung hỗn hợp không thực sự là vấn đề lớn nếu bạn truy cập trang web không cần HTTPS. Tất cả các cảnh báo nội dung hỗn hợp là một trang web được đảm bảo hưởng lợi từ bảo mật HTTPS - nói cách khác, trong trường hợp xấu nhất, trang web bạn đang truy cập không an toàn như một trang web HTTP tiêu chuẩn. Vì vậy, nếu bạn đang truy cập một trang web như Wikipedia chỉ để đọc một số bài viết và bạn thấy một cảnh báo nội dung hỗn hợp, bạn không cần phải quan tâm đến nó quá nhiều. Trong trường hợp xấu nhất, nó không an toàn như thể bạn đang đọc các bài viết trên Wikipedia qua kết nối HTTP tiêu chuẩn, dù sao bạn cũng không gặp vấn đề gì khi làm.
Tại sao một số trang web có vấn đề này
Bạn sẽ chỉ thấy lỗi này nếu có vấn đề với cách mã hóa trang web. Nếu một trang web được cung cấp qua HTTPS, thì nó cũng nên sử dụng giao thức HTTPS để lấy các tệp script và nội dung khác mà nó yêu cầu. Các nhà phát triển web nên kiểm tra các trang web của họ, đảm bảo rằng họ không kích hoạt các cảnh báo trông đáng sợ trong trình duyệt của người dùng. Nếu bạn là người dùng, bạn thực sự không thể làm bất cứ điều gì về việc này - tùy thuộc vào chủ sở hữu trang web để khắc phục.
Nếu bạn là nhà phát triển web, tất cả những gì bạn phải làm là đảm bảo các trang HTTPS của bạn tải nội dung từ URL HTTPS chứ không phải URL HTTP. Một cách để làm điều này là làm cho toàn bộ trang web của bạn chỉ hoạt động trên SSL, vì vậy mọi thứ chỉ sử dụng HTTPS.
Nếu bạn muốn tạo một trang có thể được phục vụ qua HTTP hoặc HTTPS và thực hiện đúng cách một cách tự động, bạn có thể sử dụng URL giao thức URL tương đối, để trình duyệt của người dùng tự động chọn HTTP hoặc HTTPS phù hợp, tùy thuộc vào giao thức mà người dùng sử dụng kết nối với. Ví dụ: một URL tương đối của giao thức để tải hình ảnh sẽ trông như thế nào
Các trình duyệt web đang tự động chặn nội dung hỗn hợp hoặc bảo vệ của bạn và đây là lý do. Nếu bạn cần sử dụng một trang web bảo mật không hoạt động đúng trừ khi bạn bật nội dung hỗn hợp, chủ sở hữu trang web sẽ khắc phục nó.