Bir sayfanın ilk HTML'si güvenli bir HTTPS bağlantısı üzerinden yüklenirken diğer kaynaklar (ör. resimler, videolar, stil sayfaları ve komut dosyaları) güvenli olmayan bir HTTP bağlantısı üzerinden yüklendiğinde sayfada karma içerik bulunur. Bu ad, tek bir sayfadaki HTTP ve HTTPS içeriklerinin karışımını ifade eder.
Güvenli olmayan HTTP protokolü kullanılarak alt kaynakların istenmesi, bu istekler yol üzerindeki saldırılara karşı savunmasız olduğundan sayfanın güvenliğini zayıflatır. Bu saldırılarda, saldırgan bir ağ bağlantısını dinler ve iki taraf arasındaki iletişimi görüntüler veya değiştirir. Saldırganlar bu kaynakları kullanarak kullanıcıları izleyebilir ve web sitesindeki içeriği değiştirebilir. Etkin karma içerik söz konusu olduğunda ise yalnızca güvenli olmayan kaynakların değil, sayfanın tamamının kontrolünü ele geçirebilirler.
Birçok tarayıcı, kullanıcılara karma içerik uyarıları bildirse de bu uyarılar genellikle çok geç gelir: Güvenli olmayan istekler zaten yapılmış ve sayfanın güvenliği tehlikeye atılmıştır.
Çoğu tarayıcı, güvenlik nedeniyle karma içerikleri engeller. Sayfanızın doğru şekilde yüklenmeye devam etmesini sağlamak için güvenli olmayan içerik isteklerini güvenli içerik istekleriyle değiştirin.
Karma içeriğin iki türü
İki tür karma içerik vardır: etkin ve pasif.
Resim, video ve ses gibi pasif karma içerik, sayfanın geri kalanıyla etkileşime girmez. Bu nedenle, ortadaki adam saldırısı bu içeriği yakalarsa veya değiştirirse yapabilecekleri sınırlanır.
Etkin karma içerik, sayfanın tamamıyla etkileşim kurar. Buna komut dosyaları, stil sayfaları, iframe'ler ve tarayıcının indirebileceği ve çalıştırabileceği diğer tüm kodlar dahildir. Etkin karma içeriğe yönelik saldırılar, saldırganların sayfada neredeyse her şeyi yapmasına olanak tanır.
Pasif karma içerik
Pasif karma içerik, etkin karma içeriğe kıyasla daha az risklidir ancak yine de risk içerir. Örneğin, bir saldırgan şunları yapabilir:
- Sitenizdeki resimlerle ilgili HTTP isteklerini yakalayıp bu resimleri değiştirin.
- Kullanıcıların kafasını karıştırmak için düğmelerdeki resimleri değiştirin. Örneğin, kullanıcılar kaydetmek istedikleri içeriği silebilir.
- Resimlerinizi pornografik içerikle değiştirerek sitenizin görünümünü bozabilir.
- Ürün resimlerinizi başka bir şeyin reklamlarıyla değiştirme
Saldırgan, sitenizin içeriğini değiştirmese bile karma içerik istekleri aracılığıyla kullanıcıları izleyebilir. Ayrıca, tarayıcının yüklediği resimlere veya diğer kaynaklara göre kullanıcının hangi sayfaları ziyaret ettiğini ve hangi ürünleri görüntülediğini de belirleyebilirler.
Pasif karma içerik varsa çoğu tarayıcı, sayfanın kendisi HTTPS üzerinden yüklenmiş olsa bile adres çubuğunda sayfanın güvenli olmadığını belirtir. Bu davranışı demoda gözlemleyebilirsiniz.
Yakın zamana kadar, pasif karma içerik tüm tarayıcılarda yükleniyordu. Bunun nedeni, engellenmesi durumunda birçok web sitesinin bozulacak olmasıydı. Bu durum değişmeye başlıyor. Bu nedenle, sitenizdeki tüm karışık içerik örneklerini güncellemeniz çok önemlidir.
Bazı durumlarda Chrome pasif karma içeriği otomatik olarak yükseltir. Bu, bir öğe HTTP olarak sabit kodlanmış ancak HTTPS üzerinden kullanılabiliyorsa tarayıcının HTTPS sürümünü yükleyeceği anlamına gelir. Güvenli sürüm yoksa öğe yüklenmez.
Chrome, karma içerik algıladığında veya pasif karma içeriği otomatik olarak yükselttiğinde, belirli sorununuzu düzeltme konusunda size tavsiyelerde bulunmak için Geliştirici Araçları'ndaki Sorunlar sekmesine ayrıntılı mesajlar kaydeder.
Etkin karma içerik
Etkin karma içerik, pasif karma içeriğe kıyasla daha büyük bir tehdit oluşturur. Saldırganlar, etkin içeriğe müdahale edip yeniden yazabilir ve bu içeriği kullanarak sayfanızın veya hatta web sitenizin tamamı üzerinde tam kontrol sahibi olabilir. Bu sayede, farklı içerik gösterme, kullanıcı şifrelerini veya diğer giriş kimlik bilgilerini çalma, kullanıcı oturumu çerezlerini çalma ya da kullanıcıyı tamamen farklı bir siteye yönlendirme gibi sayfanın herhangi bir yönünü değiştirebilirler.
Etkin karma içeriğin riskleri çok yüksek olduğundan çoğu tarayıcı, kullanıcıları korumak için bu tür içeriği varsayılan olarak engeller. Ancak davranış, tarayıcı sağlayıcıları ve sürümleri arasında farklılık gösterir.
Bu demoda, etkin karma içerik örnekleri gösterilmektedir. Örneği HTTP üzerinden yükleyerek HTTPS üzerinden yüklediğinizde engellenen içeriği görebilirsiniz. Engellenen içerik, Geliştirici Araçları'ndaki Sorunlar sekmesinde de ayrıntılı olarak açıklanmaktadır.
Karma içerik spesifikasyonu
Tarayıcılar, karma içerik spesifikasyonunu izler. Bu spesifikasyon, isteğe bağlı olarak engellenebilir içerik ve engellenebilir içerik kategorilerini tanımlar.
Bir kaynak, "karma içerik olarak kullanılmasına izin verme riski, web'in önemli bölümlerinin bozulma riskinden daha ağır bastığında" isteğe bağlı olarak engellenebilir içerik olarak kabul edilir. Bu, pasif karma içeriğin bir alt kümesidir.
İsteğe bağlı olarak engellenebilir olmayan tüm karma içerikler engellenebilir olarak kabul edilir ve tarayıcı tarafından engellenmelidir.
Son yıllarda HTTPS kullanımı önemli ölçüde arttı ve web'de açıkça varsayılan protokol haline geldi. Bu durum, tarayıcıların karma içerik spesifikasyonunda isteğe bağlı olarak engellenebilir şeklinde tanımlanan alt kaynak türleri de dahil olmak üzere tüm karma içerikleri engellemeyi düşünmesini artık daha olası hale getiriyor.
Eski tarayıcılar
Bazı ziyaretçiler eski tarayıcılar kullanıyor olabilir. Farklı tarayıcı sürümleri, farklı sağlayıcılardan karma içerikleri farklı şekilde ele alır. En kötü durumda, eski tarayıcılar ve sürümler karma içeriği hiç engellemez. Bu durum kullanıcı için güvenli değildir.
Tüm kaynaklarınızı güvenli bir şekilde yükleyerek ve karma içerik sorunlarınızı düzelterek içeriğinizin görünür olmasını sağlarsınız. Ayrıca, eski tarayıcıların engelleyemeyebileceği tehlikeli içeriklerden kullanıcıları korursunuz.