Wpływ niebezpiecznej zawartości na bezpieczeństwo użytkownika

Firefox chroni przed atakami blokując potencjalnie szkodliwą, nieszyfrowaną zawartość na stronach internetowych, które powinny być zaszyfrowane. Poniżej znajdziesz wyjaśnienie częściowo szyfrowanej zawartości stron i sposoby identyfikacji ich zablokowania przez program Firefox.

Częściowo nieszyfrowana zawartość i jej wpływ na bezpieczeństwo użytkownika

Protokół HTTP to system przesyłania informacji pomiędzy serwerem sieciowym a twoją przeglądarką. Protokół HTTP nie jest zaszyfrowany, więc kiedy odwiedzasz stronę internetową przesyłaną za pomocą protokołu HTTP, połączenie może być śledzone i jest narażone na ataki typu man-in-the-middle. Większość stron internetowych przesyłana jest za pośrednictwem protokołu HTTP ponieważ nie przekazują poufnych informacji i nie muszą być zabezpieczone.

Gdy odwiedzasz stronę przesyłaną za pomocą protokołu HTTPS (np. taką jak bank), zobaczysz w pasku adresu ikonę kłódki Fx70GreyPadlockFx89Padlock (więcej informacji na ten temat znajdziesz na stronie Jak sprawdzić, czy moje połączenie ze stroną internetową jest bezpieczne?). Oznacza to, że połączenie jest uwierzytelnione, szyfrowane i zabezpieczone przed podsłuchem oraz atakami typu man-in-the-middle.

Jeśli odwiedzane strony przesyłane za pomocą protokołu HTTPS zawierają także treści przesyłane za pomocą protokołu HTTP, to fragmenty te narażone są na odczytanie i zmodyfikowanie przez osobę próbującą dokonać ataku, nawet jeżeli główna strona jest przesyłana za pomocą protokołu HTTPS. Gdy strona zabezpieczona (HTTPS) zawiera treści niezabezpieczone (HTTP), wówczas mamy do czynienia z zawartością „mieszaną”. Odwiedzana strona jest tylko częściowo szyfrowana i mimo, że wydaje się w pełni bezpieczna, wcale tak nie jest. Więcej informacji na temat zawartości mieszanej (aktywnej i pasywnej) znajdziesz w tym wpisie na blogu mozilli (w języku angielskim).

Jakie zagrożenia niesie ze sobą zawartość mieszana? Osoba dokonująca ataku może na stronach z zawartością mieszaną zastąpić zawartość HTTP, by wykraść dane potwierdzające tożsamość, przejąć konto, zdobyć poufne dane lub próbować zainstalować na komputerze złośliwe oprogramowanie.

Jak zidentyfikować stronę z częściowo zaszyfrowaną zawartością?

Istnieją dwa rodzaje częściowo niezaszyfrowanej zawartości: pasywna i aktywna. Różnica między nimi polega na poziomie potencjalnego niebezpieczeństwa. Ikona kłódki w pasku adresu ułatwia rozpoznanie stron z częściowo zaszyfrowaną zawartością. FF70 Gray PadlockFx89AddressBarPadlock

Informacja: Ikona tarczy Address bar shieldFx89ShieldIcon w pasku adresu informuje, że pewne elementy śledzące zostały zablokowane na stronie internetowej. Więcej informacji na ten temat znajdziesz na stronie Wzmocniona ochrona przed śledzeniem w przeglądarce Firefox.

Brak częściowo zaszyfrowanej zawartości: brak zagrożenia

  • Gray padlock - Firefox 70Fx89Padlock : Szara kłódkaKłódka oznacza, że odwiedzana strona jest w pełni zaszyfrowana (HTTPS). Aby sprawdzić, czy Firefox zablokował części strony, które nie zostały przesłane w sposób bezpieczny, kliknij tę ikonę. Więcej informacji znajdziesz poniżej, w sekcji Odblokowanie częściowo zaszyfrowanej zawartości.

Częściowo zaszyfrowana zawartość nie jest blokowana: zagrożenie

  • unblocked mixed content 42Fx89Padlock-RedLine: Przekreślono na czerwono ikona kłódki oznacza, że odwiedzana strona zawiera aktywną częściowo zaszyfrowaną zawartość, co oznacza że Firefox nie blokuje częściowo zaszyfrowanej zawartości, a odwiedzana strona nie chroni przed nieautoryzowanym śledzeniem i atakami mającymi na celu kradzież prywatnych danych. Ikona ta nie powinna być wyświetlana na zabezpieczonej (HTTPS) witrynie, o ile wyświetlanie częściowo zaszyfrowanej zawartości nie zostało odblokowane, zgodnie z instrukcjami poniżej. Informacja: Ikona kłódki z czerwonym przekreśleniem wyświetla się również na niezaszyfrowanych (HTTP) stronach.
  • orange triangle grey lock 42Fx89Padlock-Triangle: Ikona kłódki z trójkątem oznacza, że Firefox nie blokuje pasywnej, niezaszyfrowanej zawartości, takiej jak pliki obrazów. Domyślnie, Firefox nie blokuje pasywnej, niezaszyfrowanej zawartości, wyświetlając jedynie ostrzeżenie na jej temat. Potencjalni napastnicy mogą manipulować elementami strony, przykładowo wyświetlając zwodnicze lub nieodpowiednie treści, ale nie powinni być w stanie ukraść twoich prywatnych danych z tej strony.

Więcej informacji na temat aktywnej i pasywnej częściowo zaszyfrowanej zawartości znajdziesz na tej stronie witryny Mozilla Developer Network (w jęz. angielskim).

Odblokowanie częściowo zaszyfrowanej zawartości

Odradzamy odblokowanie niezaszyfrowanych elementów, ale jest ono możliwe jeśli zaistniała taka konieczność:

  1. Kliknij ikonę kłódki Fx70GreyPadlockFx89Padlock w pasku adresu.
  2. Kliknij strzałkę w wyświetlonym panelu informacji o stronie:
    Mixed Content FF70Fx87MixedContentFx89MixedContent
  3. Kliknij Tymczasowo wyłącz ochronę.
    Disable Protection FF70 Fx87MixedContent-UnblockFx89MixedContent-Unblock

Aby włączyć ochronę, wykonaj te same czynności, na końcu klikając opcję Włącz ochronę.

Uwaga: Odblokowanie częściowo zaszyfrowanej zawartości czyni twoją przeglądarkę wrażliwą na złośliwe ataki.
Programiści: Jeśli twoja strona wyświetla ostrzeżenia bezpieczeństwa z powodu wyświetlania niezaszyfrowanej zawartości, zapoznaj się ze stroną wyjaśniającą jak naprawić problematyczną stronę.

Czy ten artykuł okazał się pomocny?

Proszę czekać…

Osoby, które pomogły w tworzeniu tego artykułu:

Illustration of hands

Pomóż nam

Zdobywaj wiedzę i dziel się nią z innymi. Odpowiadaj na pytania i ulepsz naszą bazę wiedzy.

Więcej informacji