A cosa si riferisce l’avviso di Mixed Content?

0

“Questo sito ha contenuti non protetti”. Se sei qui, probabilmente hai incontrato almeno una volta nella tua vita questo tipo di errore, ma a cosa si riferisce esattamente?

Ma a cosa si riferisce l’avviso di Mixed Content? Gli avvisi di contenuto misto indicano che qualcosa non va in una pagina web che stai visitando.

Cos’è il contenuto misto?

Tutto ciò si riduce alla differenza tra HTTP e HTTPS . HTTP è il tipo di connessione più utilizzato: quando si visita un sito Web utilizzando il protocollo HTTP, la connessione al sito Web non è protetta. Chiunque stia sniffando il traffico può vedere la pagina che stai visualizzando e tutti i dati che stai inviando avanti e indietro.

Ecco perché esiste HTTPS, che è letteralmente “HTTP Secure”. HTTPS crea una connessione sicura tra te e il server web. La connessione è crittografata e autenticata, quindi nessuno può curiosare nel traffico e hai la certezza di essere connesso al sito web corretto. Questo è estremamente importante per proteggere le password degli account e i dati di pagamento online, assicurando che nessuno possa intercettarli.

Gli avvisi di Mixed Content (contenuto misto) indicano un problema con una pagina web a cui stai accedendo tramite HTTPS. La connessione HTTPS deve essere protetta, ma il codice sorgente della pagina Web sta inserendo altre risorse con il protocollo HTTP non sicuro. La barra degli indirizzi del browser web dirà che sei connesso con HTTPS, ma la pagina sta caricando anche le risorse con il protocollo HTTP insicuro in background. Per assicurarti di sapere che la pagina web che stai utilizzando non è completamente sicura, i browser visualizzano un avviso che dice che la pagina ha sia contenuti HTTPS che HTTP – contenuti misti, in altre parole.

mixed-content

Perché questo è pericoloso

Ecco perché questo è effettivamente pericoloso. Diciamo che sei su una pagina di pagamento e stai per inserire il numero della tua carta di credito. La pagina di pagamento indica che si tratta di una connessione HTTPS crittografata , ma viene visualizzato un avviso di contenuto misto. Questo dovrebbe alzare una bandiera rossa. È possibile che i dettagli di pagamento immessi possano essere acquisiti da contenuti non sicuri e inviati tramite una connessione non protetta, rimuovendo il vantaggio della sicurezza HTTPS: qualcuno potrebbe intercettarli e visualizzare i dati sensibili.

Poiché HTTP non autentica il server Web nello stesso modo di HTTPS, è anche possibile che un sito HTTPS protetto che inserisce uno script da un sito HTTP possa essere indotto a trascinare lo script di un utente malintenzionato ed eseguirlo sul sito altrimenti sicuro. Quando viene utilizzato HTTPS, hai più garanzie che il contenuto non è stato manomesso e legittimo.

In entrambi i casi, questo elimina il vantaggio di avere una connessione HTTPS sicura. È possibile che un sito Web possa avere un avviso di contenuto non protetto e proteggere ancora i tuoi dati personali correttamente, ma non lo sappiamo per certo e non dovremmo correre il rischio: ecco perché i browser ti avvisano quando ti imbatti in un sito web che non è codificato correttamente.

mixed-content

Contenuto attivo misto vs. Contenuto passivo misto

Ci sono in realtà due tipi di contenuti misti. Il più pericoloso è “mixed active content” o “mixed scripting”. Ciò si verifica quando un sito HTTPS carica un file di script su HTTP. Il file di script può eseguire qualsiasi codice nella pagina che desidera, quindi il caricamento di uno script su una connessione non sicura rovina completamente la sicurezza della pagina corrente. I browser Web generalmente bloccano completamente questo tipo di contenuto misto.

Il secondo tipo è “mixed passive content” o “mixed display content”. Ciò si verifica quando un sito HTTPS carica qualcosa come un file immagine o audio su una connessione HTTP. Questo tipo di contenuto non può rovinare la sicurezza della pagina allo stesso modo, quindi i browser Web non reagiscono come fanno di solito. Tuttavia, è una cattiva pratica di sicurezza che potrebbe causare problemi. Ad esempio, un utente malintenzionato potrebbe sostituire l’immagine con un’immagine fuorviante, manomettendo una pagina teoricamente sicura. Una richiesta di caricamento di immagini contiene anche intestazioni contenenti informazioni sui cookie associate a un sito Web, pertanto anche il caricamento di un’immagine su una connessione non protetta può causare problemi. I browser Web spesso visualizzano un’icona o un messaggio di avviso anziché bloccare completamente il contenuto, poiché questo tipo di contenuto misto è ancora così comune sui siti Web reali.

versioni di chrome

Cosa fare quando si visualizza un avviso di contenuto misto

I browser Web generalmente bloccano i tipi più pericolosi di contenuti misti per impostazione predefinita. Non sbloccarli. Se non è possibile accedere a un sito Web o inserire i dettagli di pagamento online senza caricare il contenuto misto, ti consiglio di lasciare il sito Web e non inserire le informazioni in un sito Web non protetto. Comunica ai proprietari del sito web che il loro sito non è sicuro.

Se viene visualizzato un avviso che indica che una pagina contiene altre risorse che potrebbero non essere protette, è probabilmente sicuro effettuare il login. Non è un buon segno se un sito web importante quanto la tua banca ha questo problema, ma questo tipo di avviso di contenuto misto è molto comune.

D’altro canto, gli avvisi di contenuto misto non sono davvero un grosso problema se si accede a un sito Web che non ha bisogno di HTTPS. L’avviso di tutti i contenuti misti significa che una pagina Web è garantita per beneficiare della sicurezza HTTPS, in altre parole, nel peggiore dei casi, la pagina Web che si sta visitando non è sicura come un sito HTTP standard. Quindi, se tu stavi accedendo a un sito web come Wikipedia solo per leggere alcuni articoli e hai visto un avviso di contenuto misto, non dovresti preoccupartene troppo.

puzzle

Perché alcune pagine Web hanno questo problema

Vedrai questo errore solo se c’è un problema nel modo in cui una pagina web è codificata. Se viene pubblicata una pagina Web su HTTPS, dovrebbe utilizzare anche il protocollo HTTPS per estrarre i file di script e altri contenuti necessari. Gli sviluppatori Web dovrebbero testare le loro pagine Web, assicurando che non attivino avvisi di questo tipo nei browser degli utenti. Se sei un utente, non puoi davvero fare nulla al riguardo – è compito del proprietario del sito web correggerlo.

Se sei uno sviluppatore web, tutto ciò che devi fare è assicurarti che le tue pagine HTTPS carichino il contenuto da URL HTTPS, non URL HTTP. Un modo per farlo è quello di rendere l’intero sito Web funzionante solo su SSL, quindi tutto utilizza solo HTTPS.

Se desidera creare una pagina che può essere pubblicata su HTTP o HTTPS, puoi utilizzare url relativi, per fare in modo che il browser dell’utente scelga automaticamente HTTP o HTTPS, a seconda del protocollo a cui l’utente è connesso. Ad esempio, un URL relativo che carica un’immagine sarebbe simile a:

<img src="//example.com/image.png">

Il browser aggiungerà automaticamente http: o https: all’inizio dell’URL, a seconda del caso. Ovviamente, dovrai assicurarti che il sito a cui ti stai collegando offra la risorsa sia su HTTP che su HTTPS.

Autore del blog Digitalart. Programmatore con la passione per i computer, dolci e la cucina in generale. Ama cimentarsi in produzioni grafiche e scrivere articoli interessanti.

Potrebbe piacerti anche...