Qu'est-ce qu'un avertissement de contenu mixte?

"Ce site a un contenu non sécurisé;" "seul le contenu sécurisé est affiché;" "Firefox a bloqué le contenu qui n'est pas sécurisé." Vous rencontrez parfois ces avertissements lorsque vous naviguez sur le Web, mais que signifient-ils exactement?

Il existe deux types de contenu mixte - l'un est pire que l'autre, mais ni l'un ni l'autre n'est bon. Les avertissements de contenu mixte indiquent que quelque chose ne va pas avec une page Web visitée.

Qu'est-ce qu'un contenu mixte??

Tout cela se résume à la différence entre HTTP et HTTPS. HTTP est le type de connexion le plus couramment utilisé. Lorsque vous visitez un site Web à l'aide du protocole HTTP, votre connexion au site Web n'est pas sécurisée. Toute personne écoutant le trafic peut voir la page que vous consultez et toutes les données que vous envoyez..

C'est pourquoi nous avons HTTPS, qui est littéralement «HTTP Secure». HTTPS crée une connexion sécurisée entre vous et le serveur Web. La connexion étant cryptée et authentifiée, personne ne peut surveiller votre trafic et vous avez l'assurance que vous êtes connecté au bon site Web. Ceci est extrêmement important pour la sécurisation des mots de passe des comptes et des données de paiement en ligne, en veillant à ce que personne ne puisse les écouter..

Les avertissements de contenu mixte indiquent un problème avec une page Web à laquelle vous accédez via HTTPS. La connexion HTTPS doit être sécurisée, mais le code source de la page Web récupère d'autres ressources avec le protocole HTTP non sécurisé, pas HTTPS. La barre d'adresse de votre navigateur Web indiquera que vous êtes connecté à HTTPS, mais la page charge également des ressources avec le protocole HTTP non sécurisé en arrière-plan. Pour vous assurer que la page Web que vous utilisez n'est pas complètement sécurisée, les navigateurs affichent un avertissement indiquant que la page contient un contenu à la fois HTTPS et HTTP - un contenu mixte, autrement dit..

Pourquoi c'est dangereux

Voici pourquoi c'est vraiment dangereux. Supposons que vous êtes sur une page de paiement et que vous êtes sur le point d'entrer votre numéro de carte de crédit. La page de paiement indique qu'il s'agit d'une connexion HTTPS cryptée, mais vous voyez un avertissement de contenu mixte. Cela devrait lever un drapeau rouge. Il est possible que les informations de paiement que vous entrez soient capturées par le contenu non sécurisé et envoyées via une connexion non sécurisée, ce qui supprime les avantages de la sécurité HTTPS: une personne pourrait écouter et voir vos données confidentielles..

Étant donné que HTTP n'authentifie pas le serveur Web de la même manière que HTTPS, il est également possible qu'un site HTTPS sécurisé extrayant un script depuis un site HTTP puisse être amené à extraire le script d'un attaquant et à l'exécuter sur un site autrement sécurisé. Lorsque HTTPS est utilisé, vous avez plus de garanties que le contenu n'a pas été falsifié et qu'il est légitime.

Dans les deux cas, cela élimine les avantages d'une connexion HTTPS sécurisée. Il est possible qu'un site Web contienne un avertissement concernant le contenu non sécurisé et continue de protéger correctement vos données personnelles, mais nous ne le savons vraiment pas et nous ne devrions pas prendre le risque. codé correctement.

Contenu actif mixte vs contenu passif mixte

Il existe en réalité deux types de contenu mixte. Le plus dangereux est le «contenu actif mixte» ou le «script mixte». Cela se produit lorsqu'un site HTTPS charge un fichier de script sur HTTP. Le fichier de script peut exécuter n'importe quel code sur la page qu'il souhaite. Par conséquent, le chargement d'un script sur une connexion non sécurisée ruine complètement la sécurité de la page en cours. Les navigateurs Web bloquent généralement complètement ce type de contenu mixte..

Le deuxième type est «contenu passif mixte» ou «contenu d'affichage mixte». Cela se produit lorsqu'un site HTTPS charge quelque chose comme une image ou un fichier audio via une connexion HTTP. Ce type de contenu ne peut pas gâcher la sécurité de la page de la même manière. Les navigateurs Web ne réagissent donc pas aussi durement. Cependant, c'est toujours une mauvaise pratique de sécurité qui pourrait causer des problèmes. Par exemple, un attaquant pourrait remplacer l’image par une image trompeuse, altérant une page théoriquement sécurisée. Une demande de chargement d'image contient également des en-têtes contenant des informations de cookie associées à un site Web. Même le chargement d'une image sur une connexion non sécurisée peut entraîner des problèmes. Les navigateurs Web affichent souvent une icône ou un message d'avertissement plutôt que de bloquer complètement le contenu, car ce type de contenu mixte est encore si courant sur les sites Web réels. Dans Chrome, vous verrez un cadenas avec un triangle jaune..

Que faire lorsque vous voyez un contenu mixte Avertissement

Les navigateurs Web bloquent généralement les types de contenu mixte les plus dangereux par défaut. Ne le débloque pas. Si vous ne pouvez pas vous connecter à un site Web ou saisir des informations de paiement en ligne sans charger le contenu mélangé, vous devez simplement quitter le site Web et ne pas saisir vos informations sur un site Web non sécurisé. Informez les propriétaires de site Web que leur site est non sécurisé et endommagé.

Si vous voyez un avertissement indiquant qu'une page contient d'autres ressources qui ne sont peut-être pas sécurisées, vous pouvez probablement vous connecter en toute sécurité. Ce n'est pas bon signe si un site Web aussi important que votre banque a ce problème, mais ce type d'avertissement de contenu mixte est très courant..

D'autre part, les avertissements de contenu mixte ne sont pas vraiment un problème si vous accédez à un site Web qui n'a pas besoin de HTTPS. Un avertissement de contenu mixte signifie qu’une page Web bénéficie de la sécurité HTTPS. En d’autres termes, dans le pire des cas, la page Web consultée est aussi peu sécurisée qu’un site HTTP standard. Donc, si vous accédiez à un site Web tel que Wikipedia uniquement pour lire des articles et que vous voyiez un avertissement de contenu mixte, vous ne devriez pas trop vous en soucier. Dans le pire des cas, il est aussi peu sécurisé que de lire des articles sur Wikipedia via une connexion HTTP standard, ce que vous n'auriez aucun problème à faire de toute façon..

Pourquoi certaines pages Web ont ce problème

Vous ne verrez cette erreur qu'en cas de problème de codage de la page Web. Si une page Web est servie sur HTTPS, le protocole HTTPS doit également être utilisé pour extraire les fichiers de script et le contenu qu’il requiert. Les développeurs Web doivent tester leurs pages Web, en s'assurant qu'elles ne déclenchent pas d'alerte effrayante dans les navigateurs des utilisateurs. Si vous êtes un utilisateur, vous ne pouvez rien y faire. Le propriétaire du site Web a le droit de le réparer..

Si vous êtes un développeur Web, vous devez simplement vous assurer que vos pages HTTPS chargent le contenu à partir d'URL HTTPS, et non d'URL HTTP. Une façon de faire est de faire en sorte que votre site Web entier fonctionne uniquement avec SSL, donc tout utilise simplement HTTPS..

Si vous souhaitez créer une page pouvant être servie via HTTP ou HTTPS et agir correctement, vous pouvez utiliser des "URL relatives de protocole" pour que le navigateur de l'utilisateur choisisse automatiquement HTTP ou HTTPS selon le protocole utilisé. connecté avec. Par exemple, une URL relative au protocole pour charger une image ressemblerait à ceci: