Firefox chroni użytkowników przed atakami, blokując potencjalnie szkodliwe, niezabezpieczone treści na stronach internetowych, które powinny być zabezpieczone. W dalszej części artykułu znajduje się więcej informacji o zawartości mieszanej, o sposobach jej identyfikacji i czy Firefox ją zablokował.

Co to jest zawartość mieszana i jakie niesie zagrożenia?

Protokół HTTP to system przesyłania informacji pomiędzy serwerem sieciowym a przeglądarką użytkownika. Protokół HTTP nie szyfruje przesyłanych danych, więc kiedy użytkownik odwiedza stronę internetową obsługiwaną za pośrednictwem protokołu HTTP, połączenie może być śledzone i jest narażone na ataki typu man-in-the-middle. Większość stron internetowych jest obsługiwana przez protokół HTTP, ponieważ nie przekazują one poufnych informacji i nie muszą być zabezpieczone.

Gdy użytkownik odwiedza stronę w pełni przesyłaną za pomocą protokołu HTTPS, na przykład, taką jak bank, zobaczy w pasku adresu ikonę kłódki . Więcej informacji na temat sprawdzania bezpieczeństwa połączenia znajduje się w artykule Jak sprawdzić, czy moje połączenie ze stroną internetową jest bezpieczne?. Wyświetlona ikona kłódki oznacza, że połączenie jest uwierzytelnione i zaszyfrowane, a tym samym chronione zarówno przed podsłuchiwaniem, jak i atakami typu man-in-the-middle.

Jeśli odwiedzane strony obsługiwane za pomocą protokołu HTTPS zawierają także treści obsługiwane przez protokół HTTP, to treści te narażone są na odczytanie i zmodyfikowanie przez osobę próbującą dokonać ataku, nawet jeżeli główna strona jest obsługiwana za pomocą protokołu HTTPS. Gdy strona obsługiwana przez HTTPS zawiera treści obsługiwane przez HTTP, wówczas mamy do czynienia z „zawartością mieszaną”. Odwiedzana strona jest tylko częściowo zaszyfrowana i, mimo że wydaje się być bezpieczna, wcale tak nie jest. Więcej informacji na temat zawartości mieszanej – aktywnej i pasywnej – znajduje się we wpisie na tym blogu (w języku angielskim).

Jak można sprawdzić, czy strona ma zawartość mieszaną?

Istnieją dwa typy zawartości mieszanej – pasywna i aktywna. Różnica polega na poziomie zagrożenia. Ikona kłódki w pasku adresu ułatwia rozpoznanie, czy strona ma zawartość mieszaną.

Informacja. Ikona tarczy w pasku adresu informuje, które moduły śledzące zostały zablokowane na stronie internetowej. Więcej informacji na ten temat znajduje się w artykule Wzmocniona ochrona przed śledzeniem w przeglądarce Firefox.

Brak zawartości mieszanej – brak zagrożenia

• Widoczna w pasku adresu ikona kłódki oznacza, że odwiedzana strona jest w pełni bezpieczna (HTTPS). Aby sprawdzić, czy Firefox zablokował części strony, które nie są bezpieczne, kliknij tę ikonę. Więcej informacji znajdziesz poniżej, w sekcji Odblokowanie częściowo zaszyfrowanej zawartości.

Zawartość mieszana nie jest zablokowana – zagrożenie

• Widoczna w pasku adresu ikona kłódki przekreślona na czerwono oznacza, że odwiedzana strona zawiera mieszaną aktywną zawartość, a Firefox nie blokuje niepewnych elementów. Strona ta nie chroni przed nieautoryzowanym śledzeniem i atakami mającymi na celu kradzież prywatnych danych. Ikona ta nie powinna być wyświetlana na zabezpieczonej (HTTPS) witrynie, chyba że wyświetlanie zawartości mieszanej nie zostało odblokowane, zgodnie z instrukcjami w sekcji Odblokowanie zawartości mieszanej poniżej. Informacja. Ikona kłódki z czerwonym przekreśleniem jest również wyświetlana na niezaszyfrowanych (HTTP) stronach internetowych.

• Widoczna w pasku adresu ikona kłódki z trójkątem wskazuje, że Firefox nie blokuje niepewnej, pasywnej treści, takiej jak obrazki. Domyślnie Firefox nie blokuje zawartości mieszanej pasywnej, wyświetlając jedynie ostrzeżenie, że strona nie jest w pełni bezpieczna. Potencjalni atakujący mogą manipulować elementami strony, wyświetlając przykładowo zwodnicze lub nieodpowiednie treści, ale nie powinni być w stanie ukraść twoich prywatnych danych osobowych z tej strony.

Więcej informacji na temat mieszanej aktywnej i pasywnej zawartości można znaleźć w artykule Mozilla Developer Network (w jęz. angielskim).