Startpagina » hoe » Wat is een waarschuwing voor gemengde inhoud?

    Wat is een waarschuwing voor gemengde inhoud?

    "Deze site bevat onveilige inhoud;" "alleen beveiligde inhoud wordt weergegeven;" "Firefox heeft inhoud geblokkeerd die niet beveiligd is." U zult af en toe deze waarschuwingen tegenkomen tijdens het surfen op internet, maar wat bedoelen ze precies??

    Er zijn twee soorten gemengde inhoud: de ene is slechter dan de andere, maar geen van beide is goed. Waarschuwingen met gemengde inhoud duiden erop dat er iets mis is met een webpagina die u bezoekt.

    Wat is Mixed Content?

    Dit komt allemaal neer op het verschil tussen HTTP en HTTPS. HTTP is het meest gebruikte type verbinding: wanneer u een website bezoekt met behulp van het HTTP-protocol, is uw verbinding met de website niet beveiligd. Iedereen die het verkeer afluistert, kan de pagina zien die u bekijkt en alle gegevens die u heen en weer verzendt.

    Daarom hebben we HTTPS, dat letterlijk 'HTTP Secure' is. HTTPS maakt een veilige verbinding tussen u en de webserver. De verbinding is gecodeerd en geverifieerd, zodat niemand kan snuffelen in uw verkeer en u enige zekerheid hebt dat u bent verbonden met de juiste website. Dit is uiterst belangrijk voor het beveiligen van accountwachtwoorden en online betalingsgegevens, zodat niemand ze kan afluisteren.

    Waarschuwingen met gemengde inhoud duiden op een probleem met een webpagina die u gebruikt via HTTPS. De HTTPS-verbinding moet veilig zijn, maar de broncode van de webpagina haalt andere bronnen binnen met het onveilige HTTP-protocol, niet met HTTPS. De adresbalk van uw webbrowser geeft aan dat u bent verbonden met HTTPS, maar de pagina laadt ook bronnen met het onveilige HTTP-protocol op de achtergrond. Om ervoor te zorgen dat u weet dat de webpagina die u gebruikt niet volledig beveiligd is, geeft de browser een waarschuwing weer dat de pagina zowel HTTPS- als HTTP-inhoud heeft - gemengde inhoud, met andere woorden.

    Waarom dit gevaarlijk is

    Dit is waarom dit eigenlijk gevaarlijk is. Stel dat u op een betaalpagina staat en dat u op het punt staat uw creditcardnummer in te voeren. De betalingspagina geeft aan dat het een gecodeerde HTTPS-verbinding is, maar u ziet een waarschuwing voor gemengde inhoud. Dit zou een rode vlag moeten opheffen. Het is mogelijk dat de betalingsgegevens die u invoert, kunnen worden vastgelegd door de onveilige inhoud en verzonden via een onbeveiligde verbinding, waardoor het voordeel van HTTPS-beveiliging wordt ondermijnd - iemand kan uw gevoelige gegevens afluisteren en zien.

    Omdat HTTP de webserver niet op dezelfde manier authenticeert als HTTPS, is het ook mogelijk dat een beveiligde HTTPS-site die een script van een HTTP-site binnenhaalt, kan worden misleid om het script van een aanvaller te trekken en het op de anderszins beveiligde site te laten draaien. Wanneer HTTPS wordt gebruikt, hebt u meer zekerheid dat er niet met de inhoud is geknoeid en dat deze legitiem is.

    In beide gevallen elimineert dit het voordeel van een beveiligde HTTPS-verbinding. Het is mogelijk dat een website een onveilige inhoudswaarschuwing heeft en toch uw persoonlijke gegevens op de juiste manier beveiligt, maar we weten het echt niet zeker en zouden het risico niet moeten nemen - daarom waarschuwen webbrowsers u wanneer u een website tegenkomt die niet gecodeerd.

    Gemengde actieve inhoud versus gemengde passieve inhoud

    Er zijn eigenlijk twee soorten gemengde inhoud. De gevaarlijkere is "gemengde actieve inhoud" of "gemengde scripting." Dit gebeurt wanneer een HTTPS-site een scriptbestand via HTTP laadt. Het scriptbestand kan elke code uitvoeren op de pagina die het wil, dus het laden van een script over een onveilige verbinding doet de beveiliging van de huidige pagina volledig teniet. Webbrowsers blokkeren dit type gemengde inhoud over het algemeen volledig.

    Het tweede type is "gemengde passieve inhoud" of "gemengde weergave-inhoud." Dit gebeurt wanneer een HTTPS-site iets als een afbeelding of audiobestand via een HTTP-verbinding laadt. Dit type inhoud kan de beveiliging van de pagina niet op dezelfde manier beschadigen, dus webbrowsers reageren niet zo hard. Het is echter nog steeds een slechte beveiligingspraktijk die problemen kan veroorzaken. Een aanvaller kan bijvoorbeeld de afbeelding vervangen door een misleidend beeld en knoeien met een theoretisch beveiligde pagina. Een beeldbelastingsverzoek bevat ook koppen die cookie-informatie bevatten die is gekoppeld aan een website, dus zelfs het laden van een afbeelding over een onveilige verbinding kan problemen veroorzaken. Webbrowsers geven vaak een waarschuwingspictogram of -bericht weer in plaats van de inhoud volledig te blokkeren, omdat dit type gemengde inhoud nog steeds zo vaak voorkomt op echte websites. In Chrome ziet u een hangslot met een gele driehoek.

    Wat te doen als u een waarschuwing met gemengde inhoud ziet

    Webbrowsers blokkeren standaard de gevaarlijkste soorten gemengde inhoud. Blokkeer het niet. Als u niet kunt inloggen op een website of online betalingsgegevens kunt invoeren zonder de gemengde inhoud te laden, verlaat u de website en voert u uw gegevens niet in op een onbeveiligde website. Laat de website-eigenaren weten dat hun site onveilig en verbroken is.

    Als u een waarschuwing ziet dat een pagina andere bronnen bevat die mogelijk niet veilig zijn, is het waarschijnlijk veilig om toch in te loggen. Het is geen goed teken als een website zo belangrijk is als uw bank, maar dit type waarschuwing voor gemengde inhoud is heel gewoon.

    Aan de andere kant zijn waarschuwingen voor gemengde inhoud niet echt een probleem als u een website bezoekt die geen HTTPS nodig heeft. Een waarschuwing voor gemengde inhoud betekent dat een webpagina gegarandeerd baat heeft bij HTTPS-beveiliging. Met andere woorden, in het ergste geval is de webpagina die u bezoekt net zo onveilig als een standaard HTTP-site. Dus, als je een website zoals Wikipedia bezoekt om alleen wat artikelen te lezen en je zag een waarschuwing voor gemengde inhoud, hoef je je daar niet al te veel zorgen over te maken. In het ergste geval is het net zo onveilig alsof u artikelen op Wikipedia leest via een standaard HTTP-verbinding, wat u sowieso geen probleem zou hebben..

    Waarom sommige webpagina's dit probleem hebben

    U ziet deze fout alleen als er een probleem is met de manier waarop een webpagina is gecodeerd. Als een webpagina wordt aangeboden via HTTPS, moet deze ook het HTTPS-protocol gebruiken om scriptbestanden en andere inhoud die het vereist in te voeren. Webontwikkelaars moeten hun webpagina's testen en ervoor zorgen dat ze geen angstaanjagende waarschuwingen in de browsers van gebruikers activeren. Als u een gebruiker bent, kunt u hier echt niets aan doen. Het is aan de eigenaar van de website om deze te repareren.

    Als u een webontwikkelaar bent, hoeft u alleen maar te zorgen dat uw HTTPS-pagina's inhoud laden van HTTPS-URL's, niet van HTTP-URL's. Een manier om dit te doen is door uw hele website alleen via SSL te laten werken, dus alles gebruikt alleen HTTPS.

    Als u een pagina wilt maken die kan worden geserveerd via HTTP of HTTPS en automatisch het juiste doet, kunt u "protocol-relatieve URL's" gebruiken om de browser van de gebruiker automatisch HTTP of HTTPS te laten kiezen, afhankelijk van welk protocol de gebruiker is verbonden met. Een relatieve URL van een protocol om een ​​afbeelding te laden, zou er bijvoorbeeld uit kunnen zien


    Webbrowsers blokkeren automatisch gemengde inhoud of uw bescherming, en dit is waarom. Als u een beveiligde website moet gebruiken die niet goed werkt, tenzij u gemengde inhoud inschakelt, moet de eigenaar van de website dit corrigeren.