Blokování smíšeného obsahu ve Firefoxu

Firefox blokuje potenciálně škodlivý, nezabezpečený obsah na webových stránkách, které mají být zabezpečené a tím vás chrání před útoky. Čtěte dál a dozvíte se více o smíšeném obsahu a o tom, jak poznat, že jej Firefox zablokoval.

Protokol HTTP představuje způsob přenosu informací z webového serveru do vašeho prohlížeče. Protokol HTTP není zabezpečený, takže když navštívíte stránku, která je přenesena protokolem HTTP (šedá zeměkoule v adresním řádku), je vaše spojení možné odposlouchávat a je zranitelné vůči útokům man-in-the-middle. Protokol HTTP ke svému přenosu používá většina webových stránek, poněvadž nepřenášejí žádné citlivé informace a není tedy nutné, aby byly zabezpečené.

Když navštívíte stránku, která je kompletně přenesena protokolem HTTPS (třeba stránky vaší banky), uvidíte v adresním řádku zelený zámek (bližší informace naleznete v článku Jak poznám, zdali je spojení se serverem zabezpečené?). To znamená, že je spojení autentizováno a šifrováno, a tudíž zabezpečeno proti odposlouchávání a útokům man-in-the-middle.

Nicméně pokud se na stránce přenesené protokolem HTTPS vyskytuje obsah, který je přenesen protokolem HTTP, může být tato část stránky útočníkem přečtena nebo pozměněna, třebaže je pro samotnou stránku použit protokol HTTPS. Když se na stránce přenesené protokolem HTTPS vyskytuje HTTP obsah, říkáme, že se jedná o “smíšený“ obsah. Takováto stránka je šifrována pouze zčásti a i když oznamuje, že je zabezpečená, tak ve skutečnosti není. Podrobnější informace o smíšeném obsahu (aktivním i pasivním) naleznete v tomto příspěvku blogu.

Jaká jsou rizika smíšeného obsahu? Útočník může na takovéto stránce zaměnit HTTP obsah, aby zcizil vaše přístupové údaje, zmocnil se vašeho účtu, získal o vás citlivé informace nebo se pokusil do vašeho počítače zanést malware.

Jak poznám, že stránka obsahuje smíšený obsah?

Jsou dva typy smíšeného obsahu: smíšený pasivní obsah a smíšený aktivní obsah. Rozdíl spočívá ve stupni nebezpečnosti. Chcete-li zjistit, zda stránka obsahuje smíšený obsah, podívejte se v levé části adresního řádku po ikonce zámku.

green lock 52 Green Padlock Quantum (Highlighted)
Poznámka: Ikonka štítu Address bar shield v adresním řádku znamená, že je blokován další obsah. Bližší informace naleznete v článku Co se stalo s funkcí Ochrana proti sledování?Blokování obsahu .

Žádný smíšený obsah: bezpečné

  • green lock 42 : Když se nacházíte na plně zabezpečené stránce, uvidíte zelený zámek. Klikněte na něj, chcete-li zjistit, zda Firefox na stránce zablokoval nějaký smíšený obsah. Bližší informace naleznete v kapitole Odblokování smíšeného obsahu níže.

Smíšený obsah není blokován: není bezpečné

  • unblocked mixed content 42 : Pokud uvidíte červeně přeškrtnutý zámek, znamená to, že stránka obsahuje smíšený aktivní obsah a že Firefox neblokuje nezabezpečené prvky. Stránka tedy není chráněna proti odposlouchávání a útokům, při nichž by útočník mohl ze stránky zcizit vaše osobní údaje. Pokud jste smíšený obsah neodblokovali pomocí postupu uvedeného v následující kapitole, neměli byste tuto ikonku nikdy vidět.
  • orange triangle grey lock 42 : Šedý zámek s oranžovým výstražným trojúhelníkem značí, že Firefox neblokuje nezabezpečený pasivní obsah, jako např. obrázky. Firefox ve výchozím nastavení neblokuje smíšený pasivní obsah; pouze vás upozorní, že stránka není úplně zabezpečená. Útočník může být schopen zfalšovat části stránky, kupříkladu může zobrazit klamavý či nevhodný obsah, ale neměl by být schopen zcizit ze stránky vaše osobní údaje.

Bližší informace o smíšeném aktivním a pasivním obsahu naleznete v tomto článku na webu Mozilla Developer Network.

Odblokování smíšeného obsahu

Odblokování nezabezpečených prvků stránky se nedoporučuje, nicméně v případě potřeby se tak dá učinit:

  1. Klikněte v adresním řádku na ikonku zámku.
  2. V kontrolním centru klikněte na šipku:
    Fx62MixedContent kontrolni-centrum7-fx63
  3. Klikněte na tlačítko Vypnout ochranu.
    kontrolni-centrum8-fx63

Pro opětovné zablokování smíšeného obsahu opakujte předchozí postup a klikněte na tlačítko Povolit ochranu.

Upozornění: Odblokování smíšeného obsahu vás může ponechat zranitelné vůči útokům.
Vývojáři: Pokud vaše webová stránka generuje kvůli nezabezpečenému obsahu bezpečnostní chyby, podívejte se na tento článek na webu MDN pojednávající o tom, jak opravit webovou stránku se smíšeným obsahem.
// Tito lidé pomohli se sepsáním tohoto článku:soucet, Michal Stanke. Také můžete pomoci.

Byl tento článek srozumitelný? Počkejte prosím...

Pomáhejte s Mozillou