9. 1. 2020

Co znamená „Mixed Content,“ a proč ho Google Chrome bude blokovat?

Autor: Nikol AUDOVÁ
Rubrika: Aktuality

Od začátku roku 2020 začne webový prohlížeč Google Chrome blokovat veškerý smíšený obsah na webu, což způsobí, že se obsah webových stránek, pocházející z nezabezpečeného HTTP zdroje, na webu vůbec nezobrazí.

V současné době blokuje smíšené skripty a prvky iframe. Další průběh bude takový, že bude blokovat i obrázky, reklamní bannery, zvuky a videa z nezabezpečených adres. Společnost Google se tímto opatřením rozhodla zvýšit bezpečnost webu. Očekává, že výstražná zpráva „Not Secure“ bude motivovat weby k přechodu na HTTPS.

Co znamená Mixed Content?

V překladu smíšený obsah, je obsah na stránce zabezpečené HTTPS protokolem, který je načten jako prostý text nezabezpečeným protokolem. Při načítání se tedy vyhne HTTPS protokolu a šifrování SSL certifikátem. V některých případech se i CSS styly webových stránek načítají jako smíšený obsah, a tím pádem se web zobrazí bez nich, a to je velký problém.

HTTPS 

Protokol HTTPS umožňuje chráněný přístup k webovému serveru tím, že veškerou přenášenou komunikaci šifruje algoritmem SSL nebo TSL. Když tedy použijete protokol HTTPS, obsah nemůže být monitorován ani s ním nemůže být manipulováno, což je důležité hlavně při přenosu citlivých informací. HTTPS se také používá k autorizaci přístupu k webu.

HTTP

Pokud se připojíte ke staršímu webu využívající HTTP protokol bez šifrování, Google Chrome vás nyní upozorní, že tyto weby nejsou „zabezpečené“.

Avšak některé weby sice využívají zabezpečené připojení HTTPS, ale prostřednictvím nezašifrovaného připojení HTTP stahují obrázky, skripty či jiné zdroje. Takové webové stránky mají „smíšený obsah“, protože nejsou plně zabezpečeny.

Image 1

Proč je smíšený obsah nevhodný?

Smíšený obsah představuje nejen problém s nezobrazujícími se obrázky, ale i problém bezpečnostní. Je to nejjednodušší způsob, jak protokol HTTPS překonat. Nezabezpečené připojení přes HTTP lze monitorovat a komunikační kanál se může stát cílem útoku. Proto používáme SSL certifikáty. Do zabezpečeného a šifrovaného obsahu útočník samozřejmě nezasáhne, ale může pozměnit načítaný obsah. Tím vzniká riziko phishingu, nakažení malwarem nebo napadení prohlížeče uživatele.

Jak zjistím, jestli web obsahuje smíšený obsah?

Kontrolu smíšeného obsahu můžete provést v ověřovači SSL, kam jen zadáte adresu vašeho webu. Test vyhodnotí, jestli máte na webu smíšený obsah a o jaké prvky se konkrétně jedná. 

Jak problém řešit?

Smíšenému obsahu se raději vyhněte a na webu používejte jen relativní odkazy jako je např. /images/obrazek.png. Protokol a URL webu si prohlížeč doplní sám.

Manuální úprava odkazů 

Můžete manuálně upravit adresy v kódu webové prezentace. Pokud používáte obsah z externího webu, je potřeba upravit adresu odkazu z http://www... na https://www... 

Využítí bezpečnostních hlaviček

Dalším způsobem je možné vyřešit smíšený obsah pomocí bezpečnostní hlavičky CSP (Content Security Policy), která umožňuje "nařídit" prohlížeči, aby všechny zdroje (obrázky, scripty, videa...) načítal pouze z HTTPS adres. Pokud zdroj není dostupný po načtení HTTPS protokolu, prohlížeč jej zablokuje a nezobrazí.

Nastavení hlavičky se provádí v souboru .htaccess.

Návody a podrobnosti o nastavení hlaviček získáte na webu securityheaders.cz

Pokud budete mít zájem o přechod na zabezpečený certifikát HTTPS, tak kontaktujte naši podporu nebo volejte přímo Tomáše Kubce na tel. 734 443 054.