Что такое смешанный контент и как устранить его при использовании протокола защитного соединения
Смешанный контент — это незащищенные элементы, передаваемые по протоколу защищенного соединения, которые размещены на страницах с сертификатом безопасности. Наличие на страницах с протоколом защищенного соединения ссылок с протоколом передачи гипертекста делает сайт уязвимым и негативно влияет на поисковую оптимизацию.
Что такое смешанный контент при протоколе защищенного соединения
При использовании протокола защищенного соединения необходимо следить за тем, чтобы на страницах присутствовало только защищенное содержимое. То есть все внутренние и внешние ссылки на изображения, скрипты, другие страницы сайта должны быть прописаны либо в относительном виде, либо с протоколом защищенного соединения. Желательно сразу все прописывать в относительном виде.
Соединение со страницей по протоколу защищенного соединения зашифровано с помощью безопасности транспортного уровня и защищено от перехвата данных злоумышленниками. Если на такой странице присутствует незащищенный контент, страница становится уязвимой — ее можно перехватить и внести изменения в код. Из-за этого соединение перестает быть защищенным.
Если на защищенной странице с протоколом защищенного соединения размещается ссылка, которая начинается с протокола незащищенного соединения (http://), это трактуется поисковыми системами как ошибка смешанного контента, которая негативно влияет на продвижение сайта.
Согласно спецификации, браузеры добавляют на страницы со смешанным содержимым предупреждения о незащищенном контенте:
Данную ошибку можно отследить с помощью консоли разработчиков Мозилла, а также посредством консоли ДжаваСкрипт панели инструментов Гугл Хром.
Предупреждение в Хром:
Предупреждение в Мозилла:
Каким бывает смешанное содержимое на страницах
1. Пассивный или отображаемый смешанный контент — те общедоступные элементы, похищение которых не позволяет получить конфиденциальную и финансовую информацию.
Перехват подобных данных по небезопасному протоколу не может принести материальной выгоды злоумышленникам. Единственное, что они могут сделать, — испортить внешний вид сайта подменой этого контента.
К пассивному смешанному контенту относятся картинки, аудио, видео и прочие элементы, в случае перехвата которых злоумышленники могут в хулиганских целях поменять файлы на какие-то нелицеприятные, нарушив стандартную работу ресурса.
2. Активный смешанный контент содержит скрипты и фреймы, перехват которых может нанести урон сайту и его пользователям. К такому контенту в первую очередь относятся атрибуты путь файлов (src) тегов <скрипт> (<script>) и <фрейм>(<iframe>). Также к данной группе принадлежат:
- атрибут адрес ссылки (href) тега <ссылка> (<link>);
- атрибут данных (data) тега <свойство объекта> (<object>);
- параметр веб-адрес (url) в стилях;
- Запрос К Серверу (XTMLHttpRequest), включая все его запросы.
Такой тип смешанного содержимого теоретически может позволить хакерам украсть у пользователя персональные данные, похитить пароль, узнать номера банковских карточек и т.д.
При этом не имеет значения, вводит ли пользователь какие-то важные данные именно на этой странице, так как злоумышленники могут перенаправить его с помощью скрипта на небезопасный сайт. Нужная информация будет украдена уже с этого ресурса.
Пользователям в целом не рекомендуется вводить данные своих карточек на сайтах, в надежности которых есть хотя бы небольшие сомнения.
Как обнаружить и устранить незащищенный контент при протоколе защитного соединения
1. Ошибочные ссылки со страниц c протоколом защитного соединения на страницы с протоколом гипертекста.
Данную ошибку можно исправить, если заменить на указанных страницах во внутренних ссылках протокол незащищенного соединения (http) на протокол защитного соединения (https).
2. Использование поддержки строгой транспортной безопасность.
Эта ошибка связана с особенностями веб-сервера, для ее устранения необходимо обратиться в службу хостинг-провайдера, узнав, есть ли возможность использования строгой транспортной безопасности (hsts). Это механизм, активирующий автоматическое перенаправление на безопасный протокол даже при пользовательском вводе ссылки с протоколом незащищенного соединения (http://).
3. Присутствие незащищенных элементов.
При появлении данной ошибки необходимо проверить указанные страницы на наличие исходящих ссылок. Если ресурсы, на которые ведут ссылки, работают не на защищенном протоколе, можно скачать с них необходимые данные.
Например, при использовании изображений или скриптов с других ресурсов их проще всего скачать и загрузить на собственный сервер. После этого нужно изменить проблемные ссылки на относительные или же использовать протокол защищенного соединения (https).
Заключение
Смешанный контент негативно влияет на отображение сайта и его продвижение, поэтому необходимо принимать меры по его своевременному обнаружению и устранению. Это необходимо для обеспечения безопасности пользователей ресурса, эффективного поискового продвижения и устранения предупреждений браузеров.
Все браузеры обязаны информировать пользователя о наличии незащищенных элементов на странице, поэтому многие потенциальные посетители могут выбрать более безопасный сайт-конкурент, на котором не будет смешанного содержимого.
Обнаружить проблемы со смешанным контентом можно с помощью инструментов разработчиков браузеров, однако это требует продолжительного времени. Более оперативный способ — получить детальные сведения о всех проблемах, связанных с некорректным использованием протокола незащищенного соединения (http) на сайте, с помощью Серпстат.
Сканировать сайт на предмет небезопасных ссылок нужно сразу после того, как сайт создан или переведен на протокол защищенного соединения (https).
При исправлении ошибок в зависимости от ситуации необходимо либо менять ссылки на безопасные, либо загружать нужные файлы на свой сервер с других ресурсов и затем использовать относительные ссылки.
