混合コンテンツの警告とは何ですか？

「このサイトには安全でないコンテンツが含まれています」「安全なコンテンツのみが表示されている」「Firefoxは安全ではないコンテンツをブロックしています。」Webの閲覧中にこれらの警告に出くわすことがあります。?

混合コンテンツには2つのタイプがあります。1つは他のものより悪いですが、どちらも良いものではありません。混在するコンテンツに関する警告は、アクセスしているWebページに問題があることを示しています.

混合コンテンツとは?

これはすべて、HTTPとHTTPSの違いによるものです。 HTTPは、最も一般的に使用されている接続タイプです。HTTPプロトコルを使用してWebサイトにアクセスした場合、Webサイトへの接続は保護されません。トラフィックを傍受している人はだれでも、表示しているページと送受信しているデータを見ることができます。.

HTTPSがあるのはそのためです。これは文字通り「HTTPセキュア」です。HTTPSはあなたとWebサーバーの間に安全な接続を確立します。接続は暗号化され、認証されているため、トラフィックを詮索することはできません。正しいWebサイトに接続しているという保証があります。これは、アカウントのパスワードとオンラインでの支払いデータを保護するために非常に重要です。.

混合コンテンツの警告は、HTTPS経由でアクセスしているWebページに問題があることを示しています。 HTTPS接続は安全であるべきですが、WebページのソースコードはHTTPSではなく、安全でないHTTPプロトコルで他のリソースを引き込んでいます。 WebブラウザのアドレスバーにはHTTPSで接続されていると表示されますが、このページではバックグラウンドで安全でないHTTPプロトコルを使用してリソースも読み込まれています。使用しているWebページが完全に安全ではないことを確実にするために、ブラウザにはページにHTTPSコンテンツとHTTPコンテンツの両方が含まれていることを示す警告が表示されます。.

なぜこれが危険なのか

これが実際に危険な理由です。支払いページを開いていて、クレジットカード番号を入力しようとしているとしましょう。支払いページには暗号化されたHTTPS接続が表示されていますが、混在するコンテンツに関する警告が表示されます。これは赤い旗を掲げるべきです。入力した支払いの詳細が安全でないコンテンツによって捉えられ、安全でない接続を介して送信され、HTTPSセキュリティの利点が失われる可能性があります。.

HTTPはHTTPSと同じ方法でWebサーバーを認証しないため、HTTPサイトからスクリプトを取得する安全なHTTPSサイトが、攻撃者のスクリプトを取得し、それ以外の安全なサイトでそれを実行することに騙される可能性もあります。 HTTPSが使用されている場合は、コンテンツが改ざんされておらず正当なものであるという保証が多くあります。.

どちらの場合も、これにより安全なHTTPS接続を確立することの利点がなくなります。 Webサイトに安全でないコンテンツに関する警告が表示され、それでも個人データが適切に保護されている可能性がありますが、実際にはわからないのでリスクを冒してはいけません。正しくコーディング.

混合アクティブコンテンツと混合パッシブコンテンツ

実際には2種類の混合コンテンツがあります。もっと危険なのは、 "混合アクティブコンテンツ"または "混合スクリプト"です。これは、HTTPSサイトがHTTP経由でスクリプトファイルを読み込むときに発生します。スクリプトファイルは必要なページ上で任意のコードを実行できるため、安全でない接続を介してスクリプトをロードすると現在のページのセキュリティが完全に損なわれます。 Webブラウザは一般にこの種の混合コンテンツを完全にブロックします.

2番目のタイプは、「混合パッシブコンテンツ」または「混合表示コンテンツ」です。これは、HTTPSサイトがHTTP接続を介して画像ファイルや音声ファイルなどをロードしたときに発生します。このタイプのコンテンツは同じようにページのセキュリティを損なうことはできないので、Webブラウザはそれほど厳しく反応しません。ただし、問題を引き起こす可能性があるのはまだ悪いセキュリティ慣行です。たとえば、攻撃者は理論的に安全なページを改ざんして、誤解を招く可能性のある画像で画像を置き換えることができます。画像の読み込み要求には、Webサイトに関連付けられているCookie情報を含むヘッダーも含まれているため、安全でない接続を介して画像を読み込んでも問題が発生する可能性があります。この種の混合コンテンツは実際のWebサイトではまだ一般的であるため、Webブラウザではコンテンツを完全にブロックするのではなく、警告アイコンまたはメッセージを表示することがよくあります。 Chromeでは、黄色い三角形の南京錠が表示されます。.

混合コンテンツの警告が表示された場合の対処方法

Webブラウザは通常、最も危険な種類の混合コンテンツをデフォルトでブロックします。ブロックを解除しないでください。混合コンテンツを読み込まずにWebサイトにログインしたりオンライン支払いの詳細を入力したりできない場合は、Webサイトを離れ、安全でないWebサイトに情報を入力しないでください。ウェブサイトの所有者に彼らのサイトが安全でなく壊れていることを知らせる.

安全ではない可能性のある他のリソースがページに含まれているという警告が表示された場合は、ログインしても安全です。銀行と同じくらい重要なWebサイトにこの問題がある場合、それは良い兆候ではありませんが、この種の混合コンテンツの警告は非常に一般的です。.

一方、HTTPSを必要としないWebサイトにアクセスしている場合は、混在するコンテンツに関する警告はそれほど重要ではありません。コンテンツが混在するという警告は、HTTPSセキュリティの恩恵を受けることが保証されているWebページです。つまり、最悪の場合、アクセスしているWebページは標準のHTTPサイトと同じくらい安全ではありません。ですから、あなたがウィキペディアのようなWebサイトにアクセスして記事を読むだけで、内容が混在しているという警告が表示されたとしても、あまり気にする必要はありません。最悪の場合、ウィキペディアで標準のHTTP接続で記事を読んでいるのと同じくらい安全ではありません。どちらにしても問題はありません。.

一部のWebページにこの問題がある理由

Webページのコーディング方法に問題がある場合にのみ、このエラーが表示されます。 WebページがHTTPS経由で提供されている場合は、HTTPSプロトコルを使用してスクリプトファイルやその他の必要なコンテンツを取得する必要もあります。 Web開発者は自分のWebページをテストして、ユーザーのブラウザに怖いような警告が表示されないようにする必要があります。あなたがユーザーであれば、あなたは本当にこれについて何もすることはできません - それを修正するのはウェブサイトのオーナー次第です。.

Web開発者であれば、HTTPSページがHTTP URLではなくHTTPS URLからコンテンツを確実に読み込むようにするだけです。これを実行する1つの方法は、Webサイト全体をSSLでのみ機能させることです。そのため、すべてHTTPSを使用するだけです。.

HTTPまたはHTTPSを介して提供され、適切な処理を自動的に実行するページを作成する場合は、「プロトコル相対URL」を使用して、ユーザーのプロトコルに応じて、ユーザーのブラウザに自動的にHTTPまたはHTTPSを選択させることができます。つながっている。たとえば、画像を読み込むためのプロトコル相対URLは次のようになります。