Blog

Πώς να διαχειριστείς το μικτό περιεχόμενο στη σελίδα σου

Πώς να διαχειριστείς το μικτό περιεχόμενο στη σελίδα σου

Πώς να διαχειριστείς το μικτό περιεχόμενο στη σελίδα σου?

Η χρήση SSL/TLS έχει σημαντικά πλεονεκτήματα, αλλά μπορεί να σου δημιουργήσει μια μικρή σύγχυση αν δε γνωρίζεις τι είναι το “μικτό περιεχόμενο”. Γι’ αυτό και εμείς θα φροντίσουμε να σε ενημερώσουμε και στη συνέχεια να σου δώσουμε τις απαραίτητες οδηγίες ώστε να το διαχειριστείς.

Αρχικά, είναι χρήσιμο να ξέρεις ότι υπάρχουν τρεις διαφορετικοί τρόποι που φορτώνεται ένα site. Παρακάτω μπορείς να δεις τα σχετικά παραδείγματα για να τους κατανοήσεις σε βάθος.

Το πρώτο παράδειγμα είναι του δικού μας site, που χρησιμοποιεί και φορτώνει όλο το περιεχόμενο του με τη χρήση πρωτοκόλλου HTTPS. Αυτό είναι το καλύτερο σενάριο φόρτωσης μιας σελίδας. Οι επισκέπτες δεν έχουν λόγο να ανησυχούν όταν βρίσκονται σε τέτοιο περιβάλλον, καθώς όλα όσα βλέπουν και μεταφέρουν, είναι υπό μια ασφαλή σύνδεση και κρυπτογραφούνται.

hostplus secure

H δεύτερη περίπτωση είναι όταν ένα site χρησιμοποιεί HTTPS, αλλά το περιεχόμενο του δεν είναι όλο φορτωμένο σε HTTPS. Όπως βλέπεις και στην εικόνα του παραδείγματος, η διεύθυνση έχει “HTTPS” αλλά αριστερά της υπάρχει ένα “i”. Όταν πατήσεις πάνω του, θα δεις ένα μήνυμα που αναφέρει ότι η σύνδεση δεν είναι απόλυτα ασφαλής. Αυτό συμβαίνει γιατί μια φόρμα του συγκεκριμένου site φορτώνει με τη χρήση HTTP, κάτι το οποίο την κάνει ευάλωτη σε επιθέσεις. Εδώ, λοιπόν, έχουμε το λεγόμενο “μικτό περιεχόμενο”.

mybb mixed

Η τελευταία περίπτωση φόρτωσης μιας σελίδας είναι και η περισσότερο ανεπιθύμητη, καθώς δε χρησιμοποιείται καθόλου το πρωτόκολλο HTTPS. Μια τέτοια πρακτική, ειδικά όταν υιοθετείται από ηλεκτρονικά καταστήματα, είναι πραγματικά επικίνδυνη, καθώς οποιοδήποτε ευαίσθητο στοιχείο δοθεί από τον χρήστη, μπορεί να φτάσει σε χέρια τρίτων χωρίς να έχει κρυπτογραφηθεί.

ingr no secure

Εντοπίζοντας το μικτό περιεχόμενο

Τώρα που είδες πώς επισημαίνεται στον browser ένα site το οποίο έχει μικτό περιεχόμενο, κάνε μια βόλτα σε ηλεκτρονικά καταστήματα που προτιμάς ή σε άλλες διευθύνσεις που πληκτρολογείς καθημερινά. Μόλις βρεις κάποιο site που χρησιμοποιεί μικτό περιεχόμενο, κάνε δεξί κλικ οπουδήποτε σε αυτό, και πάτα το “Inspect”. Μετά επίλεξε το “Console”, και θα μπορέσεις να δεις όλες τις επισημάνσεις μικτού περιεχομένου. 

Το επόμενο βήμα είναι να αναγνωρίσεις τους δύο διαφορετικούς τύπους μικτού περιεχομένου: το ενεργό και το παθητικό. Όπως καταλαβαίνεις, το ενεργό είναι αυτό που έρχεται σε αλληλεπίδραση με άλλες πηγές, ενώ το παθητικό είναι αυτό που περιορίζεται στην αλληλεπίδραση με τον εαυτό του.

Το ενεργό μικτό περιεχόμενο, συμπεριλαμβάνει scripts, περιεχόμενο flash, style sheets, iframes κ.λπ. που αλληλεπιδρούν με άλλες πηγές. Όλα αυτά, συνήθως παίζουν πρωταγωνιστικό ρόλο σε μια σελίδα και έτσι όταν ένας εισβολέας καταφέρει να πάρει τον έλεγχο τους, μπορεί να κάνει τεράστιες αλλαγές και να αλλοιώσει τελείως το αρχικό περιεχόμενο (εικόνες, σημαντικές πληροφορίες, εμφάνιση κ.ο.κ.).

Το παθητικό μικτό περιεχόμενο, από την άλλη, είναι λιγότερο επικίνδυνο από το μικτό, ωστόσο και πάλι καθιστά ευάλωτη μια σελίδα σε τρίτους. Αν για παράδειγμα κάποιος εισβολέας αποκτήσει πρόσβαση στο παθητικό μικτό περιεχόμενο ενός ηλεκτρονικού καταστήματος, μπορεί να καταφέρει μεγάλο πλήγμα. Έχει τη “δύναμη” να αλλάξει φωτογραφίες στα προϊόντα και να παραπλανήσει τον επισκέπτη ή ακόμα και να προσθέσει ακατάλληλο περιεχόμενο. Επίσης, μπορεί να “ακυρώσει” λειτουργίες του site, αντικαθιστώντας εικονίδια όπως π.χ. αυτό της διαγραφής και της αποθήκευσης. Έτσι, αν ο χρήστης επιλέξει να αποθηκεύσει κάτι, μπορεί τελικά να το διαγράψει. Γενικά, υπάρχει η πιθανότητα να οδηγηθεί ο επισκέπτης σου σε μονοπάτια που δεν είχε καμία πρόθεση να βρεθεί.

Πώς να απομακρύνεις το μικτό περιεχόμενο
Με δεδομένα όλα τα παραπάνω, είναι πολύ λογικό να αναρωτιέσαι γιατί κάποιος να μην μπλοκάρει οποιοδήποτε site έχει μικτό περιεχόμενο. Κάτι τέτοιο, όμως είναι πρακτικά αδύνατο, καθώς υπάρχουν εκατομμύρια sites με μικτό περιεχόμενο που χρησιμοποιούνται, και θα συνεχίσουν να χρησιμοποιούνται, καθημερινά.

Αυτό, βέβαια, δε σημαίνει και ότι θα σου κάνει καλό να επαναπαυτείς με το μικτό περιεχόμενο στο site σου. Η εμπειρία του επισκέπτη επηρεάζεται! Μπορεί να μπει στο site, και να κάνει κανονικά αυτό που ήθελε, ωστόσο είναι πιθανό να αποχωρήσει με την αίσθηση ότι δεν κάνεις αρκετή προσπάθεια για την ασφάλειά του και την προστασία των δεδομένων που σου εμπιστεύεται. Από την άλλη, φυσικά και υπάρχει η περίπτωση, μόλις κάποιος δει σχετική ένδειξη, να αποχωρήσει τελείως από το site και να μην επιστρέψει.

Είναι, λοιπόν, σημαντικό να μπεις στη διαδικασία να κάνεις το site σου πιο ασφαλές και αξιόπιστο. Για να γίνει κάτι τέτοιο, θα πρέπει να μπλοκάρεις όλους τους επικίνδυνους τύπους μικτού περιεχομένου, και να αφήσεις τους λιγότερο επικίνδυνους τύπους να είναι διαθέσιμοι όταν αυτό ζητηθεί. Ο πιο απλός τρόπος να βρεις τι είναι περισσότερο και τι λιγότερο επικίνδυνο, είναι να διαβάσεις τις κατευθυντήριες γραμμές που ακολουθούν οι περισσότεροι από τους σύγχρονους browsers. Μετά, μπορείς να διαλέξεις την λύση που σου ταιριάζει.

Λύση 1: Plugin ή διόρθωση μικτού περιεχομένου με το χέρι

Αν χρησιμοποιείς το WordPress, μπορείς να εγκαταστήσεις το Really Simple SSL pluginπου θα κάνει την ανακατεύθυνση από HTTP σε HTTPS.

Αν δεν έχεις στήσει το site σου στο WordPress, θα χρειαστεί να καταβάλεις περισσότερη προσπάθεια και να διορθώσεις ξεχωριστά κάθε περίπτωση μικτού περιεχομένου.
Ας πούμε ότι έχεις μια προειδοποίηση μικτού περιεχομένου για μια εικόνα. Για να κάνεις τη διόρθωση με το χέρι, θα πρέπει να δεις τον πηγαίο κώδικα και να εντοπίσεις το link της εικόνας. Θα δεις ότι φορτώνει με HTTP. Προσπάθησε να το κάνεις HTTPS και μετά να μπεις στο link. Αν φορτώνει κανονικά η φωτογραφία, κανένα πρόβλημα. Μπορείς απλά να κάνεις τη μετατροπή προσθέτοντας το “S” στο HTTP.

Αν, ωστόσο, στο νέο link σού εμφανίζεται ένα μήνυμα του τύπου “η σύνδεσή σας δεν είναι ιδιωτική”, θα πρέπει να δράσεις διαφορετικά, καθώς η φωτογραφία δεν μπορεί να φορτωθεί σε HTTPS. Για να λύσεις αυτό το πρόβλημα, θα πρέπει να χρησιμοποιήσεις άλλον host που έχει την ίδια φωτογραφία, ή να κατεβάσεις τη φωτογραφία στο site σου και να τη χρησιμοποιήσεις (αν έχεις τα δικαιώματα). Αν τίποτα από αυτά τα δύο δε γίνεται, τότε απλά προχώρησε στο σβήσιμό της από το site σου γενικότερα.

Λύση 2: Content Security Policy (CSP) – Για μεγαλύτερα site

Η λύση που αναφέρθηκε παραπάνω μπορεί να είναι ιδανική αν έχεις μικρότερο site, αλλά σίγουρα δεν είναι χρονικά ρεαλιστική για ένα site με πολλές εσωτερικές σελίδες και μεγάλο περιεχόμενο. Σε αυτή την περίπτωση, ένας developer μπορεί μέχρι να διορθωθούν τα URLs να επιλέξει το Content Security Policy ή CSP, ένα εργαλείο το οποίο διασφαλίζει τη διαχείριση μεγάλου όγκου μικτού περιεχομένου.
Το CSP δίνει οδηγία στους περισσότερους browsers εκτός τον Microsoft Edge να αναφέρει το μικτό περιεχόμενο και το site να μην εμφανίσει απροσδόκητα μη ασφαλείς πηγές.

Για οποιαδήποτε επιπλέον πληροφορία, μη διστάσεις να επικοινωνήσεις με την υποστήριξη της HostPlus.

Related Articles

ΥΠΟΣΤΗΡΙΞΗ
24 / 7 / 365

ΤΗΛΕΦΩΝΟ
210 300 1234

ΚΙΝΗΤΟ
6936 57 27 28

© 2004 - 2024 All Rights Reserved. | Φιλοξενία & Κατασκευή HostPlus LTD

hostplus 35