Cum identifici continutul mixt (mixed content) al unui website ?

Ca sa intelegem expresia continut mixt va fi nevoie sa clarificam diferenta dintre HTTP si HTTPS.

Hypertext Transfer Protocol este un protocol de comunicatie cu transferul de text structurat ce contine legaturi (hipertext) dintre un client si server web.

Este un protocol fara stare, fiind necesar sa se utilizeze solutii adiacente pentru persistenta informatiilor intre accesari (cookie-uri, campuri ascunse, sesiuni, rescrierea URL-urilor).

Principalele concepte cu care lucreaza acest protocol sunt cererea si raspunsul.

Cererea este transmisa de client catre serverul web si reprezinta o solicitare pentru obtinerea unor resurse.

Raspunsul este transmis de serverul web catre client ca rezultat al solicitarii primite, aceasta poate fi o informatie, o redirectare sau o eroare la client sau web server.

Grupuri de raspunsuri ale codurilor de stare:

1xx Informare

100 = serverul accepta tratarea cererii de la client;
101 = schimbare de protocol;

2xx Succes

200 = cerere reusita;
202 = cerere acceptata;
204 = nu exista continut;

3xx Redirectare

301 = pagina mutata definitiv;
302 = pagina mutata temporar;
304 = pagina din memoria ascunsa este inca valida;

4xx Eroare la client

401 = cererea necesita autentificare;
403 = pagina interzisa;
404 = pagina nu a fost gasita;

5xx Eroare la server

500 = eroare interna la server;
503 = incearca mai tarziu;

Hypertext Transfer Protocol/Secure reprezinta protocolul HTTP intr-un flux SSL/TLS care cripteaza datele de la browser la web server, pentru a oferi o identificare criptata si securizata la server.

In majoritatea cazurilor conexiunile HTTPS sunt utilizate pentru efectuarea de operatiuni de plata si pentru operatiuni confidentiale.

A fost dezvoltat pentru a proteja transferul datelor de intrusi si este o metoda de autentificare a web serverului prin intermediul certificatelor de securitate (SSL).

Atacatorii de tip Man-in-the-middle pot inlocui orice fel de continut HTTP in pagina dvs pentru a fura credentiale, sesiuni, date sensibile sau pot lansa si instala anumite malware-e pe dispozitivele vizitatorilor.

Certificatele digitale sunt o colectie de date care sunt solicitate de catre browser de la web server pentru a incepe transferul criptat.

 

Dupa achizitionarea sau activarea unui certificat de securitate, in majoritatea cazurilor trebuie efectuate cateva modificari in site sau in contul de gazduire.

Un certificat poate fi activ pentru un domeniu, iar acesta sa nu fie afisat la accesarea paginii din browser, adica sa nu apara lacatelul de langa numele domeniului.

 

Verificati prezenta unui certificat tastand https:// in fata domeniului sau cu utilizati un utilitar online creat pentru verificarea acestuia.

Daca pagina se incarca securizata, cu prezenta lacatelului de langa numele domeniului, inseamna ca domeniul are un certificat activ, insa la accesarea paginii se incarca automat cu protocolul HTTP.

In majoritatea cazurilor este nevoie de realizarea unei redirectionari de la protocolul HTTP catre HTTPS.

Aceasta redirectionare se poate efectua din cPanel, la meniul Redirects sau prin inserarea unor coduri de redirectionare in fisierul .htaccess din folderul public_html la meniul File Manager sau printr-o conexiune FTP.

 

Sunt cazuri in care aceste modificari nu sunt deajuns.

Exista posibilitatea ca pagina incarcata sa afiseze certificatul de securitate, insa cu modificari mici sau chiar drastice in pagina web.

Sunt cazuri in care nici cu accesarea prin protocolul HTTPS nu se va afisa certificatul.

Acestea pot semnala ca sunt probleme cu structura HTML al paginii sau structura temei respective.

Deschideti inspectorul de elemente (Developer tool) al browserului ca sa va puteti asigura despre acest aspect. La majoritatea browserilor acesta se poate realiza prin apasarea butoanelor CTRL+SHIFT+I, sau prin accesarea meniului din partea dreapta (cele trei puncte) la More tools.

La meniul Console se poate verifica care sunt resursele care nu se incarca prin HTTPS (s-ar putea sa fie nevoie de reimprospatarea paginii dupa ce ati accesat inspectorul de elemente).

Atat Firefox cat si Chrome au inceput sa blocheze implicit continutul mixt, deoarece reprezinta un risc de securitate si ambele browsere afiseaza utilizatorilor o avertizare privind continutul mixt.

 

Ce este continutul mixt ?

Intalnim acest fenomen cand o pagina web isi descarca continutul HTML in mod securizat dar incarca materialele prin protocolul nesecurizat (scripturi, imagini, clipuri video).

Continutul mixt potate fi de doua feluri:

-pasiv / afisat: in acest caz, continutul HTTP necriptat este limitat la elementele incapsulate de pe site care nu pot interactiona cu restul paginii ( de exemplu, imagini sau videoclipuri).

-activ: acest tip de continut mixt poate modifica comportamentul unei pagini HTTPS si poate fura date sensibile de la utilizator.

 

Browserele vor afisa un avertisment ca utilizatorul este directionat spre o pagina nesigura precum si blocheaza tipurile mai periculoase de continut mixt.

Acesta poate afecta negativ si reputatia site-ului dvs. web fiindca Google a confirmat ca algoritmul lor de clasare a rezultatelor cautarii ofera un mic impuls de clasament site-urilor web care sunt difuzate prin HTTPS.

Aceasta problema se poate rezolva prin modificarea tuturor linkurilor pentru a putea fi accesat prin HTTPS, ce ar rezulta disparitia continutului mixt.

Exista diverse site-uri de specialitate, diverse plugin-uri ce ajuta la indentificarea link-urilor care sunt accesate prin HTTP, fie ca acestea sunt interne ale site-ului sau resurse externe.

De obicei aceste verificari si remedierea problemei sunt efectuate de catre o persoana specializata sau un programator expert.

 

HTTPS devine protocolul implicit de comunicații web si angajarea deplina la acesta poate avea efecte pozitive pentru proprietarii si vizitatorii site-ului.

Va recomandam sa eliminati orice continut mixt de pe site-urile dvs. web pentru a evita problemele inutile si utilizatorii nefericiti.

 

 

Claudiu Cadar a scris 62 articole