หน้าเว็บมีเนื้อหาผสมเมื่อโหลด HTML เริ่มต้นผ่านการเชื่อมต่อ HTTPS ที่ปลอดภัย แต่โหลดทรัพยากรอื่นๆ (เช่น รูปภาพ วิดีโอ สไตล์ชีต และสคริปต์) ผ่านการเชื่อมต่อ HTTP ที่ไม่ปลอดภัย ชื่อนี้หมายถึงเนื้อหา HTTP และ HTTPS ที่ผสมกันในหน้าเดียว
การขอทรัพยากรย่อยโดยใช้โปรโตคอล HTTP ที่ไม่ปลอดภัยจะทำให้ความปลอดภัยของหน้าเว็บลดลง เนื่องจากคำขอเหล่านี้เสี่ยงต่อการโจมตีระหว่างเส้นทาง ซึ่งผู้โจมตีจะดักฟังการเชื่อมต่อเครือข่ายและดูหรือแก้ไขการสื่อสารระหว่าง 2 ฝ่าย การใช้ทรัพยากรเหล่านี้ ผู้โจมตีสามารถ ติดตามผู้ใช้และแทนที่เนื้อหาในเว็บไซต์ และในกรณีของเนื้อหาแบบผสมที่ใช้งานอยู่ ผู้โจมตีสามารถควบคุมหน้าเว็บได้อย่างสมบูรณ์ ไม่ใช่แค่ทรัพยากรที่ไม่ปลอดภัย
แม้ว่าเบราว์เซอร์หลายตัวจะรายงานคำเตือนเกี่ยวกับเนื้อหาแบบผสมให้ผู้ใช้ทราบ แต่รายงานมักจะช้าเกินไป เนื่องจากคำขอที่ไม่ปลอดภัยได้ดำเนินการไปแล้วและมีการบุกรุกความปลอดภัยของหน้าเว็บ
ปัจจุบันเบราว์เซอร์ส่วนใหญ่บล็อกเนื้อหาแบบผสมด้วยเหตุผลด้านความปลอดภัย เปลี่ยนคำขอเนื้อหาที่ไม่ปลอดภัย เป็นเนื้อหาที่ปลอดภัยเพื่อให้หน้าเว็บโหลดได้อย่างถูกต้อง
เนื้อหาผสม 2 ประเภท
เนื้อหาแบบผสมมี 2 ประเภท ได้แก่ แบบแอ็กทีฟและแบบพาสซีฟ
เนื้อหาผสมแบบแพสซีฟ ซึ่งรวมถึงรูปภาพ วิดีโอ และเสียง จะไม่โต้ตอบกับส่วนอื่นๆ ของหน้าเว็บ ดังนั้นการโจมตีแบบ Man-in-the-Middle จึงถูกจำกัดในสิ่งที่ทำได้หากดักจับหรือเปลี่ยนแปลงเนื้อหานั้น
เนื้อหาผสมที่มีการใช้งานจะโต้ตอบกับหน้าเว็บทั้งหน้า ซึ่งรวมถึงสคริปต์ สไตล์ชีต iframe และโค้ดอื่นๆ ที่เบราว์เซอร์ดาวน์โหลดและ เรียกใช้ได้ การโจมตีเนื้อหาผสมที่ใช้งานอยู่ทำให้ผู้โจมตีทำอะไรกับหน้าเว็บก็ได้
เนื้อหาผสมแบบพาสซีฟ
เนื้อหาผสมแบบพาสซีฟมีความเสี่ยงน้อยกว่าเนื้อหาผสมที่มีการใช้งาน แต่ก็ยังมีความเสี่ยงอยู่ ตัวอย่างเช่น ผู้โจมตีสามารถทำสิ่งต่อไปนี้ได้
- ดักคำขอ HTTP สำหรับรูปภาพในเว็บไซต์ แล้วสลับหรือแทนที่รูปภาพเหล่านั้น
- แทนที่รูปภาพบนปุ่มเพื่อให้ผู้ใช้สับสนและลบเนื้อหาที่ตั้งใจจะบันทึก เป็นต้น
- ทำให้เว็บไซต์เสียหายโดยการแทนที่รูปภาพด้วยเนื้อหาลามกอนาจาร
- แทนที่รูปภาพผลิตภัณฑ์ด้วยโฆษณาสำหรับสิ่งอื่น
แม้ว่าผู้โจมตีจะไม่เปลี่ยนแปลงเนื้อหาของเว็บไซต์ แต่ก็สามารถติดตามผู้ใช้ ผ่านคำขอเนื้อหาแบบผสมได้ นอกจากนี้ ยังบอกได้ว่าผู้ใช้เข้าชมหน้าใดและดูผลิตภัณฑ์ใดโดยอิงตามรูปภาพหรือแหล่งข้อมูลอื่นๆ ที่เบราว์เซอร์โหลด
หากมีเนื้อหาผสมแบบพาสซีฟ เบราว์เซอร์ส่วนใหญ่จะระบุในแถบที่อยู่ ว่าหน้าเว็บไม่ปลอดภัย แม้ว่าหน้าเว็บจะโหลดผ่าน HTTPS ก็ตาม คุณดูพฤติกรรมนี้ได้ในการสาธิตนี้
ก่อนหน้านี้ เบราว์เซอร์ทั้งหมดจะโหลดเนื้อหาผสมแบบพาสซีฟ เนื่องจาก การบล็อกเนื้อหาดังกล่าวจะทำให้เว็บไซต์จำนวนมากใช้งานไม่ได้ แต่ตอนนี้กำลังจะมีการเปลี่ยนแปลง ดังนั้นคุณจึงต้องอัปเดตอินสแตนซ์ของเนื้อหาผสมในเว็บไซต์
ในบางกรณี Chrome จะอัปเกรดเนื้อหาผสมแบบแพสซีฟโดยอัตโนมัติ ซึ่งหมายความว่าหากมีการฮาร์ดโค้ดชิ้นงานเป็น HTTP แต่ชิ้นงานนั้นพร้อมใช้งานผ่าน HTTPS เบราว์เซอร์จะโหลดเวอร์ชัน HTTPS หากไม่มีเวอร์ชันที่ปลอดภัย ระบบจะไม่โหลดชิ้นงาน
เมื่อใดก็ตามที่ Chrome ตรวจพบเนื้อหาผสมหรืออัปเกรดเนื้อหาผสมแบบแพสซีฟโดยอัตโนมัติ ระบบจะบันทึกข้อความโดยละเอียดไปยังแท็บปัญหาในเครื่องมือสำหรับนักพัฒนาเว็บเพื่อแนะนำวิธี แก้ไขปัญหาที่เฉพาะเจาะจง
เนื้อหาผสมที่มีการใช้งาน
เนื้อหาผสมที่มีการใช้งานเป็นภัยคุกคามที่ร้ายแรงกว่าเนื้อหาผสมที่ไม่มีการใช้งาน ผู้โจมตีสามารถดักจับและเขียนเนื้อหาที่ใช้งานอยู่ใหม่ โดยใช้เนื้อหานั้นเพื่อควบคุม หน้าเว็บหรือแม้แต่เว็บไซต์ทั้งหมดของคุณได้อย่างเต็มที่ ซึ่งจะช่วยให้ผู้โจมตีเปลี่ยนแปลงองค์ประกอบใดก็ได้ของ หน้าเว็บ รวมถึงการแสดงเนื้อหาที่แตกต่างกัน การขโมยรหัสผ่านของผู้ใช้หรือ ข้อมูลเข้าสู่ระบบอื่นๆ การขโมยคุกกี้เซสชันของผู้ใช้ หรือการเปลี่ยนเส้นทางผู้ใช้ ไปยังเว็บไซต์อื่นโดยสิ้นเชิง
เนื่องจากเนื้อหาผสมที่ใช้งานอยู่มีความเสี่ยงสูงมาก เบราว์เซอร์ส่วนใหญ่จึง บล็อกเนื้อหาประเภทนี้โดยค่าเริ่มต้นเพื่อปกป้องผู้ใช้ แต่ลักษณะการทำงานจะแตกต่างกัน ระหว่างผู้ให้บริการและเวอร์ชันของเบราว์เซอร์
การสาธิตนี้แสดงตัวอย่างเนื้อหาแบบผสมที่ใช้งานอยู่ โหลดตัวอย่างผ่าน HTTP เพื่อดูเนื้อหาที่ถูกบล็อกเมื่อคุณโหลดตัวอย่างผ่าน HTTPS นอกจากนี้ เนื้อหาที่ถูกบล็อกยังมีรายละเอียดอยู่ในแท็บปัญหาในเครื่องมือสำหรับนักพัฒนาเว็บด้วย
ข้อกำหนดเนื้อหาผสม
เบราว์เซอร์จะทำตามข้อกำหนดเกี่ยวกับเนื้อหาแบบผสม ซึ่งกำหนดหมวดหมู่เนื้อหาที่บล็อกได้โดยไม่บังคับ และเนื้อหาที่บล็อกได้
ทรัพยากรจะถือเป็นเนื้อหาที่บล็อกได้โดยไม่บังคับ "เมื่อความเสี่ยงในการอนุญาต ให้ใช้เป็นเนื้อหาผสมมีมากกว่าความเสี่ยงในการทำให้ส่วนสำคัญ ของเว็บใช้งานไม่ได้" ซึ่งเป็นส่วนย่อยของเนื้อหาผสมแบบแพสซีฟ
เนื้อหาแบบผสมทั้งหมดที่บล็อกได้โดยไม่บังคับจะถือว่าบล็อกได้ และเบราว์เซอร์ควรบล็อกเนื้อหาดังกล่าว
ในช่วงไม่กี่ปีที่ผ่านมา การใช้ HTTPS เพิ่มขึ้นอย่างมาก และกลายเป็นค่าเริ่มต้นที่ชัดเจนบนเว็บ ซึ่งทำให้ตอนนี้เบราว์เซอร์สามารถพิจารณาบล็อกเนื้อหาแบบผสมทั้งหมดได้ง่ายขึ้น แม้แต่ประเภททรัพยากรย่อยที่กำหนดไว้ในข้อกำหนดเนื้อหาแบบผสม เป็นบล็อกได้โดยไม่บังคับ
เบราว์เซอร์รุ่นเก่า
ผู้เข้าชมบางรายอาจใช้เบราว์เซอร์รุ่นเก่า เบราว์เซอร์เวอร์ชันต่างๆ จากผู้ให้บริการ รายต่างๆ จะจัดการเนื้อหาแบบผสมแตกต่างกัน ในกรณีที่แย่ที่สุด เบราว์เซอร์และเวอร์ชันเก่า จะไม่บล็อกเนื้อหาแบบผสมเลย ซึ่งไม่ปลอดภัยสำหรับผู้ใช้
การโหลดทรัพยากรทั้งหมดอย่างปลอดภัยและการแก้ไขปัญหาเนื้อหาแบบผสมจะช่วยให้เนื้อหาของคุณแสดงได้และปกป้องผู้ใช้จากเนื้อหาที่เป็นอันตรายซึ่งเบราว์เซอร์รุ่นเก่าอาจไม่บล็อก