Kategoriler
CloudFlare

Karışık içerik nedir?

İle TLS (olarak da bilinir SSL ), Internet iletişimi olan şifreli daha güvenli bir tarama deneyimi oluşturur. Kullanıcılar, TLS ile şifrelenmiş siteleri kolayca tanımlayabilir çünkü URL’lerinde “http: //” yerine “https: //” bulunur. Ancak bazı durumlarda, bir HTTPS sitesi, düz metin HTTP protokolü kullanılarak yüklenen bazı öğeleri de içerebilir . Bu, karma içerik olarak bilinen ve bazen ‘HTTPS üzerinden HTTP’ olarak adlandırılan bir koşul oluşturur.

Karma içerikle kullanıcılar, HTTPS korumalı bir sitede oldukları için güvenli, şifreli bir bağlantıda oldukları izlenimi altına girecekler, ancak sayfanın şifrelenmemiş öğeleri güvenlik açıkları oluşturarak bu kullanıcıları yetkisiz izleme gibi kötü niyetli faaliyetlere açacaklar. ve yolda saldırılar . Güvenlik açığının ciddiyeti, karma içeriğin pasif veya aktif olmasına bağlıdır.

Pasif / görüntülü karma içerik ile aktif karma içerik arasındaki fark nedir?

Pasif / Karışık İçeriği Göster: Bu durumda, şifrelenmemiş HTTP içeriği, sitedeki, sayfanın geri kalanıyla etkileşime giremeyen kapsüllenmiş öğelerle (örneğin, resimler veya videolar) sınırlıdır. Örneğin, bir saldırgan HTTP üzerinden yüklenen bir görüntüyü engelleyebilir veya değiştirebilir, ancak sayfanın geri kalanını değiştiremez.

Aktif Karma İçerik: Bu durumda, web sayfasının tamamı ile etkileşime girebilen ve tüm web sayfasını değiştirebilen öğeler veya bağımlılıklar HTTP üzerinden sunulur. Bunlar, JavaScript dosyaları ve API istekleri gibi bağımlılıkları içerir.

Aktif karma içerik, pasif / görüntülü karma içeriğe göre daha ciddi bir tehdit oluşturur; güvenliği ihlal edildiğinde, bir saldırganın tüm web sayfasını ele geçirmesine, oturum açma kimlik bilgileri gibi hassas kullanıcı girişlerini toplamasına, kullanıcıya sahte bir sayfa sunmasına veya kullanıcıyı bir saldırganın sitesine yönlendirmesine olanak tanır.

Çoğu modern web tarayıcısı, karma içerik için geliştirici konsolunda uyarılar sağlar ve daha tehlikeli karma içerik türlerini engeller. Her tarayıcının kendi kuralları vardır, ancak genel olarak konuşursak, aktif karma içeriğin engellenme olasılığı çok daha yüksektir.

Pasif / görüntülü karma içerik daha az tehdit oluştursa da, saldırganlara gizliliği tehlikeye atma ve kullanıcı etkinliğini izleme fırsatı sunmaya devam eder. Ayrıca, birçok tarayıcı pasif karma içeriğin bazı biçimlerine izin verdiği ve kullanıcılara yalnızca geliştirici konsolunda karma içerik uyarıları sağladığından, birçok kullanıcı karma içeriğe maruz kaldıklarının farkında olmayacaktır.

Eski web tarayıcıları kullanan kullanıcılar özellikle savunmasızdır çünkü bu tarayıcılar karma içeriği hiç engellemeyebilir.

Tarayıcılar neden tüm karma içeriği engellemiyor?

Maalesef çok sayıda popüler web sitesi, bir şekilde veya başka şekilde karma içerik sunar. Tüm karma içeriği engelleyen bir web tarayıcısı, web’in çok dar bir sürümünü kullanıcılarına sunacaktır. Daha fazla web sitesi bu sorunu çözene kadar, tarayıcıların daha az ciddi olan karma içerik türlerinden bazılarına izin vererek güvenlikten taviz vermesi gerekir.

Karışık içerik hataları nasıl düzeltilebilir?

Web geliştiricileri, karışık içeriği ortadan kaldırma sorumluluğuna sahiptir. Zamanla, web tarayıcıları karma içerik açısından gittikçe daha kısıtlayıcı hale geldi ve bu eğilim yalnızca devam edecek. Bu nedenle, geliştiricilerin web tarayıcılarının sitelerini görüntülemeye devam etmesini istiyorlarsa karışık içeriği ortadan kaldırmaları zorunludur.

Karma içerik için düzeltme oldukça basittir: Web geliştiricilerinin sayfalarındaki her kaynağın HTTPS üzerinden yüklendiğinden emin olmaları gerekir. Pratikte, modern web siteleri genellikle çeşitli yerlerden birkaç farklı kaynak yüklediğinden, bu zor olabilir.

Geliştiricilerin sayfalarında tüm karma içerik örneklerini tespit etmeleri için iyi bir araç Google Chrome geliştirici konsoludur. Geliştiriciler, bir ‘http: //’ URL’si kullanılarak yüklenen API çağrıları ve kitaplıkları gibi kaynak örnekleri için kaynak kodlarını da kontrol edebilirler. Bazı durumlarda çözüm, ‘http: //’ URL’sini ‘https: //’ ile değiştirmektir. Ancak önce, o kaynağın HTTPS sürümünün mevcut olduğu doğrulanmalıdır. Kaynağın şifrelenmiş bir sürümü mevcut değilse, ya değiştirilmesi ya da tamamen kaldırılması gerekecektir.

Spreading Love by Sharing