Výrazný nárůst uživatelů internetu v posledních letech automaticky vedl k většímu zájmu lidí se špatnými úmysly využívat toto virtuální prostředí. Každý den jich jsou statisíce počítačové útoky na globální úrovni a útočníci neberou v úvahu, zda jsou cílem veřejné instituce, armáda, firmy nebo prostí uživatelé internetu. Lze zneužít jakékoli informace, od údajů o bankovní kartě po účet na sociální síti nebo osobní dokumenty.
V případě jednoduchých uživatelů (domácích uživatelů) jsou PC ve většině případů infikovány z nedbalost jim. Buď se otevřel virová zpráva přijatá e-mailem, jeden byl nainstalován aplikace hack nebo zpřístupněno nezabezpečené webové stránky.

Od konce roku 2017 Firefox začal varovat uživatele při přístupu na stránku HTTP. Chrome přišel s téměř podobnou aktualizací a Google opakovaně naléhal na webmastery (tvůrce webových stránek), aby přešli na protokol Https.

HTTP, HTTPS a smíšený obsah

V současné době, když přistupujete na webovou stránku, existují dva typy spojení mezi vaším PC a hostitelským serverem navštívené webové stránky. Tato spojení mohou být Https nebo HTTP. Připojení HTTPS vyžaduje certifikát SSL, za který odpovídá hostitelský server, a spojení mezi počítačem a serverem je zabezpečené / šifrované. Aby byla chráněna důvěrná data uživatele a integrita operačního systému v době interakce s navštívenou webovou stránkou. Identifikujte tyto zabezpečené webové stránky velmi snadno, když se podíváte do adresního řádku a uvidíte zámek vedle webové adresy.

Při přístupu na webovou stránku pomocí HTTP se přenos dat a obsahu mezi vaším PC a hostitelským serverem stane nezabezpečeným a mohou se objevit interakce třetích stran. Google Chrome aktuálně varuje uživatele s “Není bezpečné” před nezabezpečenou webovou adresou.

Kromě HTTP a HTTPS existuje ještě třetí typ obsahu. “Smíšený obsah“.

Co je smíšený obsah a jaká jsou rizika při přístupu na stránku se smíšeným obsahem?

“Smíšený obsah” je kdy webová stránka má zabezpečený protokol HTTPS, ale obsah obsahuje prvky třetích stran z nezabezpečeného zdroje, HTTP. Těmito prvky mohou být obrázky, Java skripty, CSS nebo dokonce autentizační relace. Prostřednictvím těchto nezabezpečených prvků mohou útočníci převzít plnou kontrolu nad webovou stránkou. Včetně ostatních prvků, které pocházejí ze zabezpečeného zdroje, HTTPS.
Nezabezpečené zdroje z webové stránky HTTPS lze velmi snadno identifikovat ze zdrojového kódu stránky. Stačí použít jeden “nalézt” Cu “http://” k identifikaci těchto zdrojů.
Na “smíšený obsah” bere se také v úvahu, zda webová adresa HTTP hostí zdroje (obrázek, zvuk, video, iframe, java skript, CSS atd.) HTTPS. Ani tato stránka nebude považována za zabezpečenou a Google Chrome na to uživatele upozorní. Počínaje lednem 2020 bude navíc toto varování agresivnější a majitelé webových stránek, kteří nebudou dodržovat odstranění smíšeného obsahu, riskují ztrátu organické návštěvnosti. V současné době Google Chrome blokuje skripty a prvky iframe ze smíšeného obsahu, ale tato omezení se budou týkat i mediálního obsahu. Obrázky, video a zvuk.

Firefox již dávno integroval varovný systém při přístupu ke smíšenému obsahu. Zámek s vykřičníkem nám říká, že webová adresa, přestože je HTTPS, obsahuje prvky NON-HTTPS, které mohou mít vliv na uživatele.

“Část těchto stránek není zabezpečená (například obrázky)”.

“Smíšený obsah” a “NON-HTTPS” nemusí být děsivé. Neznamená to, že pokud vstoupíte na webovou stránku žádné šifrované spojení, bude vás okamžitě následovat kdyby tam byly osobní schůzky. Těmto rizikům se skutečně vystavujete při přístupu na webovou stránku HTTP z veřejné WiFi sítě. WiFi sítě v obchodních centrech, parcích, na letištích, v restauracích nebo na jiných veřejných místech s přístupem na internet. V těchto veřejných sítích se vůbec nedoporučuje nakupovat online nebo přistupovat k citlivým účtům. Veřejná WiFi síť v kombinaci s webovou adresou bez HTTPS může být pro vaše data velkým problémem.

Ti, kteří chtějí přesunout blog z HTTP na HTTPS a zbavit se “Smíšený obsah”, mohu postupovat podle tohoto návodu:Jak přesunout blog nebo web WordPress z HTTP na HTTPS.