Có hai loại nội dung hỗn hợp - một loại tồi tệ hơn loại kia, nhưng cũng không tốt. Cảnh báo nội dung hỗn hợp chỉ ra rằng có gì đó không ổn với trang web bạn đang truy cập.
Nội dung hỗn hợp là gì?
Tất cả điều này đi kèm với sự khác biệt giữa HTTP và HTTPS. HTTP là loại kết nối được sử dụng phổ biến nhất - khi bạn truy cập trang web bằng giao thức HTTP, kết nối của bạn với trang web không được bảo mật. Bất kỳ ai nghe trộm về lưu lượng truy cập đều có thể xem trang bạn đang xem và bất kỳ dữ liệu nào bạn đang gửi qua lại.
Đó là lý do chúng tôi có HTTPS, nghĩa là "Bảo mật HTTP". HTTPS tạo kết nối an toàn giữa bạn và máy chủ web. Kết nối được mã hóa và xác thực, vì vậy không ai có thể tìm hiểu lưu lượng truy cập của bạn và bạn có một số đảm bảo rằng bạn đã kết nối với trang web chính xác. Điều này cực kỳ quan trọng để bảo mật mật khẩu tài khoản và dữ liệu thanh toán trực tuyến, đảm bảo không ai có thể nghe trộm chúng.
Cảnh báo nội dung hỗn hợp cho biết có vấn đề với trang web bạn đang truy cập qua HTTPS. Kết nối HTTPS phải an toàn, nhưng mã nguồn của trang web đang kéo các tài nguyên khác bằng giao thức HTTP không an toàn, không phải HTTPS. Thanh địa chỉ của trình duyệt web của bạn sẽ cho biết bạn đã kết nối với HTTPS, nhưng trang cũng đang tải tài nguyên bằng giao thức HTTP không an toàn trong nền. Để đảm bảo bạn biết rằng trang web bạn đang sử dụng không hoàn toàn an toàn, các trình duyệt hiển thị cảnh báo cho biết trang có cả nội dung HTTPS và HTTP - nội dung hỗn hợp, nói cách khác.
Tại sao điều này là nguy hiểm
Đây là lý do tại sao điều này thực sự nguy hiểm. Giả sử bạn đang ở trên trang thanh toán và bạn sắp nhập số thẻ tín dụng của mình. Trang thanh toán cho biết đó là kết nối HTTPS được mã hóa nhưng bạn thấy cảnh báo nội dung hỗn hợp. Điều này sẽ làm tăng cờ đỏ. Có thể chi tiết thanh toán bạn nhập có thể bị nội dung không an toàn nắm bắt và được gửi qua kết nối không an toàn, xóa lợi ích của bảo mật HTTPS - ai đó có thể nghe trộm và xem dữ liệu nhạy cảm của bạn.
Bởi vì HTTP không xác thực máy chủ web giống như HTTPS, nên cũng có thể trang web HTTPS an toàn kéo tập lệnh từ trang web HTTP có thể bị lừa để kéo tập lệnh của kẻ tấn công và chạy nó trên trang web bảo mật khác. Khi sử dụng HTTPS, bạn có nhiều đảm bảo rằng nội dung không bị giả mạo và hợp pháp.
Trong cả hai trường hợp, điều này sẽ loại bỏ lợi ích của việc có kết nối HTTPS an toàn. Có thể trang web có thể có cảnh báo nội dung không an toàn và vẫn bảo mật dữ liệu cá nhân của bạn, nhưng chúng tôi thực sự không biết chắc chắn và không nên mạo hiểm - đó là lý do tại sao trình duyệt web cảnh báo bạn khi bạn gặp một trang web không được mã hóa đúng cách.
Nội dung hoạt động hỗn hợp so với nội dung thụ động hỗn hợp
Thực tế có hai loại nội dung hỗn hợp. Nội dung nguy hiểm hơn là “nội dung hoạt động hỗn hợp” hoặc “tập lệnh hỗn hợp”. Điều này xảy ra khi trang web HTTPS tải tệp tập lệnh qua HTTP. Tệp tập lệnh có thể chạy bất kỳ mã nào trên trang mà nó muốn, vì vậy việc tải tập lệnh qua kết nối không an toàn hoàn toàn làm hỏng bảo mật của trang hiện tại. Trình duyệt web thường chặn hoàn toàn loại nội dung hỗn hợp này.
Loại thứ hai là "nội dung thụ động hỗn hợp" hoặc "nội dung hiển thị hỗn hợp". Điều này xảy ra khi trang web HTTPS tải một thứ gì đó giống như tệp hình ảnh hoặc tệp âm thanh qua kết nối HTTP. Loại nội dung này không thể hủy hoại tính bảo mật của trang theo cùng một cách, do đó các trình duyệt web không phản ứng dữ dội như vậy. Tuy nhiên, đó vẫn là thực hành bảo mật kém có thể gây ra sự cố. Ví dụ, một kẻ tấn công có thể thay thế hình ảnh bằng một hình ảnh gây hiểu nhầm, giả mạo với một trang về mặt lý thuyết an toàn. Yêu cầu tải hình ảnh cũng chứa các tiêu đề chứa thông tin cookie được liên kết với trang web, vì vậy việc tải hình ảnh qua kết nối không an toàn cũng có thể gây ra sự cố. Trình duyệt web thường hiển thị biểu tượng cảnh báo hoặc tin nhắn thay vì chặn nội dung hoàn toàn vì loại nội dung hỗn hợp này vẫn phổ biến trên các trang web thực. Trong Chrome, bạn sẽ thấy một ổ khóa có hình tam giác màu vàng.
Việc cần làm khi bạn thấy cảnh báo nội dung hỗn hợp
Trình duyệt web thường chặn các loại nội dung hỗn hợp nguy hiểm nhất theo mặc định. Không bỏ chặn nó. Nếu bạn không thể đăng nhập vào trang web hoặc nhập chi tiết thanh toán trực tuyến mà không tải nội dung hỗn hợp, bạn chỉ cần rời khỏi trang web và không nhập thông tin của mình vào trang web không an toàn. Hãy để chủ sở hữu trang web biết trang web của họ không an toàn và bị hỏng.
Nếu bạn thấy cảnh báo rằng một trang chứa các tài nguyên khác có thể không an toàn, có thể bạn vẫn an toàn khi đăng nhập. Đó không phải là một dấu hiệu tốt nếu một trang web quan trọng như ngân hàng của bạn có vấn đề này, nhưng loại cảnh báo nội dung hỗn hợp này rất phổ biến.
Mặt khác, cảnh báo nội dung hỗn hợp không thực sự là vấn đề lớn nếu bạn đang truy cập trang web không cần HTTPS.Tất cả phương tiện cảnh báo nội dung hỗn hợp là trang web được đảm bảo hưởng lợi từ bảo mật HTTPS - nói cách khác, trong trường hợp xấu nhất, trang web bạn đang truy cập không an toàn như trang web HTTP chuẩn. Vì vậy, nếu bạn đang truy cập một trang web như Wikipedia chỉ để đọc một số bài viết và bạn thấy cảnh báo nội dung hỗn hợp, bạn không cần phải quan tâm đến nó quá nhiều. Trong trường hợp xấu nhất, điều đó cũng không an toàn như khi bạn đang đọc các bài viết trên Wikipedia qua kết nối HTTP chuẩn, điều mà bạn không gặp vấn đề gì.
Tại sao một số trang web có vấn đề này
Bạn sẽ chỉ thấy lỗi này nếu có sự cố với cách trang web được mã hóa. Nếu một trang web được phân phối qua HTTPS, nó cũng nên sử dụng giao thức HTTPS để kéo tệp tập lệnh và nội dung khác mà nó yêu cầu. Nhà phát triển web nên kiểm tra trang web của họ, đảm bảo rằng họ không kích hoạt cảnh báo đáng sợ trong trình duyệt của người dùng. Nếu bạn là người dùng, bạn thực sự không thể làm bất cứ điều gì về điều này - chủ sở hữu trang web có thể khắc phục nó.
Nếu bạn là nhà phát triển web, tất cả những gì bạn phải làm là đảm bảo các trang HTTPS tải nội dung từ URL HTTPS, chứ không phải URL HTTP. Một cách để làm điều này là làm cho toàn bộ trang web của bạn chỉ hoạt động trên SSL, vì vậy mọi thứ chỉ sử dụng HTTPS.
Nếu bạn muốn tạo trang có thể được phân phát qua HTTP hoặc HTTPS và tự động làm điều đúng, bạn có thể sử dụng "URL tương đối giao thức" để trình duyệt của người dùng tự động chọn HTTP hoặc HTTPS nếu thích hợp, tùy thuộc vào giao thức người dùng kết nối với. Ví dụ: URL tương đối của giao thức để tải hình ảnh sẽ trông giống như
Trình duyệt web tự động chặn nội dung hỗn hợp hoặc bảo vệ của bạn và đây là lý do tại sao. Nếu bạn cần sử dụng trang web bảo mật không hoạt động bình thường trừ khi bạn bật nội dung hỗn hợp, chủ sở hữu của trang web sẽ khắc phục nó.
