หน้าเว็บมีเนื้อหาผสมเมื่อมีการโหลด HTML เริ่มต้นผ่านการเชื่อมต่อ HTTPS ที่ปลอดภัย แต่มีการโหลดทรัพยากรอื่นๆ (เช่น รูปภาพ วิดีโอ สไตลชีต และสคริปต์) ผ่านการเชื่อมต่อ HTTP ที่ไม่ปลอดภัย ชื่อนี้หมายถึงการผสมเนื้อหา HTTP และ HTTPS ในหน้าเว็บเดียว
การขอทรัพยากรย่อยโดยใช้โปรโตคอล HTTP ที่ไม่ปลอดภัยจะทำให้ความปลอดภัยของหน้าเว็บลดลง เนื่องจากคำขอเหล่านี้เสี่ยงต่อการโจมตีระหว่างเส้นทาง ซึ่งผู้โจมตีจะแอบฟังการเชื่อมต่อเครือข่ายและดูหรือแก้ไขการสื่อสารระหว่าง 2 ฝ่าย การใช้ทรัพยากรเหล่านี้ช่วยให้ผู้โจมตีสามารถติดตามผู้ใช้และแทนที่เนื้อหาในเว็บไซต์ได้ และในกรณีที่มีเนื้อหาแบบผสมที่ใช้งานอยู่ ผู้โจมตีจะควบคุมหน้าเว็บได้ทั้งหมด ไม่ใช่แค่ทรัพยากรที่ไม่ปลอดภัย
แม้ว่าเบราว์เซอร์หลายตัวจะรายงานคำเตือนเนื้อหาที่ผสมกับผู้ใช้ แต่รายงานมักจะส่งช้าเกินไป เนื่องจากมีการดำเนินการตามคำขอที่ไม่ปลอดภัยไปแล้วและความปลอดภัยของหน้าเว็บถูกบุกรุก
ปัจจุบันเบราว์เซอร์ส่วนใหญ่บล็อกเนื้อหาแบบผสมเนื่องจากเหตุผลด้านความปลอดภัย เปลี่ยนคำขอเนื้อหาที่ไม่ปลอดภัยเป็นเนื้อหาที่ปลอดภัยเพื่อให้หน้าเว็บโหลดอย่างถูกต้องต่อไป
เนื้อหาผสม 2 ประเภท
เนื้อหาแบบผสมมี 2 ประเภท ได้แก่ แบบแอ็กทีฟและแบบพาสซีฟ
เนื้อหาผสมแบบแพสซีฟ ซึ่งรวมถึงรูปภาพ วิดีโอ และเสียง จะไม่โต้ตอบกับส่วนอื่นๆ ของหน้าเว็บ ดังนั้นการโจมตีแบบคนกลางจะจำกัดสิ่งที่จะทำได้หากมีการสกัดกั้นหรือเปลี่ยนแปลงเนื้อหานั้น
เนื้อหาผสมที่มีการใช้งานโต้ตอบกับหน้าเว็บโดยรวม ซึ่งรวมถึงสคริปต์ สไตล์ชีต iframe และโค้ดอื่นๆ ที่เบราว์เซอร์ดาวน์โหลดและดำเนินการได้ การโจมตีเนื้อหาผสมที่ใช้งานอยู่ช่วยให้ผู้โจมตีทําสิ่งต่างๆ กับหน้าเว็บได้เกือบทุกอย่าง
เนื้อหาผสมแบบพาสซีฟ
เนื้อหาผสมแบบไม่โต้ตอบมีความเสี่ยงน้อยกว่าเนื้อหาผสมแบบโต้ตอบ แต่ก็ยังถือว่ามีความเสี่ยงอยู่ ตัวอย่างเช่น ผู้โจมตีอาจทำสิ่งต่อไปนี้ได้
- สกัดกั้นคําขอ HTTP สําหรับรูปภาพในเว็บไซต์และสลับหรือแทนที่รูปภาพเหล่านั้น
- แทนที่รูปภาพบนปุ่มเพื่อไม่ให้ผู้ใช้สับสนและลบเนื้อหาที่ตั้งใจจะบันทึก
- ทำลายเว็บไซต์ของคุณด้วยการแทนที่รูปภาพด้วยเนื้อหาลามกอนาจาร
- แทนที่รูปภาพผลิตภัณฑ์ด้วยโฆษณาสำหรับสิ่งอื่น
แม้ว่าผู้โจมตีจะไม่เปลี่ยนแปลงเนื้อหาของเว็บไซต์ แต่ก็สามารถติดตามผู้ใช้ผ่านคำขอเนื้อหาแบบผสมได้ นอกจากนี้ยังบอกได้ว่าผู้ใช้เข้าชมหน้าเว็บใดและดูผลิตภัณฑ์ใดโดยอิงตามรูปภาพหรือทรัพยากรอื่นๆ ที่เบราว์เซอร์โหลด
หากมีเนื้อหาผสมแบบพาสซีฟ เบราว์เซอร์ส่วนใหญ่จะระบุในแถบที่อยู่ว่าหน้าเว็บไม่ปลอดภัย แม้ว่าหน้าเว็บจะโหลดผ่าน HTTPS ก็ตาม คุณสามารถดูลักษณะการทํางานนี้ได้ในการสาธิตนี้
จนกระทั่งเมื่อไม่นานมานี้ เบราว์เซอร์ทุกประเภทจะโหลดเนื้อหาผสมแบบพาสซีฟ เนื่องจากการบล็อกเนื้อหาดังกล่าวจะทำให้เว็บไซต์จำนวนมากใช้งานไม่ได้ แต่ตอนนี้สถานการณ์เริ่มเปลี่ยนแปลงไป จึงจําเป็นต้องอัปเดตอินสแตนซ์ของเนื้อหาผสมในเว็บไซต์
ในบางกรณี Chrome จะอัปเกรดเนื้อหาผสมแบบแพสซีฟโดยอัตโนมัติ ซึ่งหมายความว่าหากชิ้นงานได้รับการฮาร์ดโค้ดเป็น HTTP แต่พร้อมใช้งานผ่าน HTTPS เบราว์เซอร์จะโหลดเวอร์ชัน HTTPS หากไม่มีเวอร์ชันที่ปลอดภัย ชิ้นงานจะไม่โหลด
เมื่อใดก็ตามที่ Chrome ตรวจพบเนื้อหาผสมหรืออัปเกรดเนื้อหาผสมแบบแพสซีฟโดยอัตโนมัติ ระบบจะบันทึกข้อความโดยละเอียดไว้ในแท็บปัญหาในเครื่องมือสำหรับนักพัฒนาเว็บเพื่อแนะนำวิธีแก้ไขปัญหาเฉพาะ
เนื้อหาผสมที่มีการใช้งาน
เนื้อหาผสมที่มีการใช้งานเป็นภัยคุกคามมากกว่าเนื้อหาผสมที่ไม่มีการใช้งาน ผู้โจมตีสามารถดักฟังและเขียนเนื้อหาที่ใช้งานอยู่ใหม่ได้ เพื่อใช้ควบคุมหน้าเว็บหรือทั้งเว็บไซต์ของคุณ ซึ่งช่วยให้ผู้โจมตีเปลี่ยนแปลงแง่มุมต่างๆ ของหน้าเว็บได้ ซึ่งรวมถึงการแสดงเนื้อหาอื่น การลักลอบใช้รหัสผ่านของผู้ใช้หรือข้อมูลเข้าสู่ระบบอื่นๆ การลักลอบใช้คุกกี้เซสชันของผู้ใช้ หรือการเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์อื่นโดยสิ้นเชิง
เนื่องจากความเสี่ยงของเนื้อหาผสมที่ใช้งานอยู่มีสูงมาก เบราว์เซอร์ส่วนใหญ่จึงบล็อกเนื้อหาประเภทนี้โดยค่าเริ่มต้นเพื่อปกป้องผู้ใช้ แต่ลักษณะการทํางานจะแตกต่างกันไปในแต่ละเวอร์ชันและผู้ให้บริการเบราว์เซอร์
ตัวอย่างนี้แสดงตัวอย่างเนื้อหาแบบผสมที่ใช้งานอยู่ โหลดตัวอย่างผ่าน HTTP เพื่อดูเนื้อหาที่ถูกบล็อกเมื่อคุณโหลดตัวอย่างผ่าน HTTPS เนื้อหาที่ถูกบล็อกจะมีรายละเอียดอยู่ในแท็บปัญหาในเครื่องมือสำหรับนักพัฒนาเว็บด้วย
ข้อกำหนดเนื้อหาแบบผสม
เบราว์เซอร์จะเป็นไปตามข้อกำหนดเนื้อหาแบบผสม ซึ่งกำหนดหมวดหมู่เนื้อหาที่บล็อกได้ (ไม่บังคับ) และเนื้อหาที่บล็อกได้
ทรัพยากรจะจัดว่าเป็นเนื้อหาที่บล็อกได้ (ไม่บังคับ) "เมื่อความเสี่ยงในการอนุญาตให้ใช้เนื้อหาดังกล่าวเป็นเนื้อหาผสมมีมากกว่าความเสี่ยงที่อาจทำให้ส่วนสำคัญของเว็บใช้งานไม่ได้" เนื้อหาประเภทนี้เป็นเนื้อหาผสมแบบแพสซีฟย่อย
เนื้อหาแบบผสมทั้งหมดที่เลือกบล็อกได้จะถือว่าบล็อกได้ และเบราว์เซอร์ควรบล็อกเนื้อหาดังกล่าว
ในช่วงไม่กี่ปีที่ผ่านมา การใช้งาน HTTPS เพิ่มขึ้นอย่างมาก และกลายเป็นค่าเริ่มต้นที่ชัดเจนบนเว็บ ซึ่งทำให้เบราว์เซอร์พิจารณาบล็อกเนื้อหาแบบผสมทั้งหมดได้ง่ายขึ้น แม้กระทั่งทรัพยากรย่อยประเภทต่างๆ ที่ระบุไว้ในข้อกำหนดเนื้อหาแบบผสมว่าเป็นเนื้อหาที่บล็อกหรือไม่ก็ได้
เบราว์เซอร์รุ่นเก่า
ผู้เข้าชมบางรายอาจใช้เบราว์เซอร์รุ่นเก่า เบราว์เซอร์เวอร์ชันต่างๆ จากผู้ให้บริการรายต่างๆ จะจัดการเนื้อหาแบบผสมแตกต่างกัน ในกรณีที่ร้ายที่สุด เบราว์เซอร์และเวอร์ชันเก่าจะไม่บล็อกเนื้อหาแบบผสมเลย ซึ่งไม่ปลอดภัยต่อผู้ใช้
การโหลดทรัพยากรทั้งหมดอย่างปลอดภัยและการแก้ไขปัญหาเนื้อหาแบบผสมจะช่วยให้มั่นใจได้ว่าเนื้อหาจะแสดงและปกป้องผู้ใช้จากเนื้อหาที่เป็นอันตรายซึ่งเบราว์เซอร์รุ่นเก่าอาจไม่บล็อก