Cresterea semnificativa in ultimii ani a celor care utilizeaza internetul, a dus automat si la un interes mai mare din partea persoanelor rau intentionate, de a exploata acest mediu virtual. Zilnic sunt sute de mii de atacuri informatice la nivel global, iar atacatorii nu tin cont daca obiectivele vizate sunt institutii publice, militare, companii sau simpli utilizatori de internet. Orice informatie, de la datele unui card bancar pana la un cont de retea sociala sau documente personale, poate fi valorificata.
In cazul simplilor utilizatori (home users), infectarea PC-urilor se face in majoritatea cazurilor din neglijenta acestora. Fie s-a deschis in mesaj virusat primit pe email, s-a instalat o aplicatie hack sau s-au accesat pagini web nesecurizate.
Inca de la finele lui 2017, Firefox a inceput sa avertizeze utilizatorii atunci cand acceseaza o pagina HTTP. Chrome a venit cu un update aproape similar, iar Google a indemnat in repetate randuri webmasterii (creatorii de web site-uri) sa treaca la protocolul HTTPS.
HTTP, HTTPS si Mixed Content
In prezent, atunci cand accesati o pagina web, sunt doua tipuri prin care se face conexiune intre PC-ul dvs. si serverul gazda al paginii web accesate. Aceste conexiuni pot fi HTTPS sau HTTP. Conexiunea HTTPS presupune un certificat SSL de care raspunde serverul gazda, iar conexiune intre PC si server se face securizat / criptat. Astfel ca datele confidentiale ale utilizatorului si integritatea sistemului de operare sunt protejate in momentul interactiunii cu pagina web accesata. Identificati foarte simplu aceste website-uri securizate, daca va uitati sus la bara de adresa si vedeti un lacat in dreptul adresei web.
La accesarea unei pagini web cu HTTP, transferul de date, de continut, dintre PC-ul dvs si serverul gazda se va face nesecurizat si pot aparea terte interactiuni. Google Chrome avertizeaza in prezent utilizatorii cu “Not Secure” in fata adresei web nesecurizate.
Pe langa HTTP si HTTPS exista si un al treilea tip de continut. “Mixed Content“.
Ce este continutul mixt si care sunt riscurile la accesarea unei pagini cu continut mixt?
“Mixed Content” este atunci cand o pagina web are protocol securizat HTTPS, insa in continut sunt terte elemente venite de la o sursa nesigura, HTTP. Aceste elemente pot fi imagini, scripturi Java, CSS sau chiar sesiuni de autentificare. Prin intermediul acestor elemente nesecurizate, atacatorii pot prelua controlul total al paginii web. Inclusiv a celorlalte elemente, care vin din sursa sigura, HTTPS.
Sursele nesecurizate dintr-o pagina web cu HTTPS pot fi identificate foarte usor din codul sursa al paginii. Este de ajuns sa utilizati un “find” cu “http://” pentru a identifica aceste surse.
Tot “mixed content” este connsiderat si daca o adresa web HTTP, gazduieste surse (imagine, audio, video, iframe, java script, CSS, etc) HTTPS. Nici aceasta pagina nu va fi considerata sigura, iar Google Chrome va notifica utilizatorii cu privire la acest lucru. Mai mult decat atat, incepand cu luna ianuarie 2020, acest avertisment va fi mai agresiv, iar proprietarii paginilor web care nu se conformeaza pentru a elimina continutul mixt, risca sa piarda trafic organic. In prezent, Google Chrome blocheaza scripturile si iframe-urile din continutul mixt, insa aceste limitari si vor extinde si la continutul media. Imagini, video si audio.
Firefox au integrat in urma cu mult timp un sistem de avertizare atunci cand este accesat un continut mixt. Lacatul cu semnul exclamarii ne spune ca adresa web desi este HTTPS, contine elemente NON-HTTPS ce pot afecta utilizatorii.
“Part of this pages are not secure (such as images)”.
“Mixed Content” si “NON-HTTPS” nu trebuie sa fie niste sperietori. Nu inseamna ca daca accesati o pagina web fara conexiune criptata, urmeaza imediat sa vi se fure date personale. La aceste riscuri va expuneti real atunci cand accesati o pagina web HTTP de pe o retea publica de WiFi. Retele WiFi din mall-uri, parcuri, aeroporturi, restaurante sau alte locatii publice cu accest internet. Nu este deloc recomandat sa faceti cumparaturi online sau sa va accesati conturi sensibile pe aceste retele publice. O retea publica WiFi in combinatie cu o adresa web non-HTTPS, poate fi o problema majora pentru datele dvs.
Cei care doresc sa mute un blog de pe HTTP pe HTTPS si sa scape si de “Mixed Content”, pot urma acest tutorial: Cum mutam un blog sau un website WordPress de pe HTTP pe HTTPS.