Wpływ niebezpiecznej zawartości na bezpieczeństwo użytkownika

Informacja. Aby cieszyć się najnowszymi funkcjami zaktualizuj swoją wersję Firefoksa.

Kiedy odwiedzasz stronę, której zawartość ma być w pełni szyfrowana, ale mimo to zawiera nieszyfrowane elementy, Firefox blokuje takie elementy i wyświetla ikonę tarczy w pasku adresu. Poniżej znajdziesz definicję częściowo szyfrowanej zawartości stron, dlaczego Firefox ją blokuje i jakie opcje oferuje ta blokada.

Insecure1 34 - Win

Insecure1 39 - Lin en

Czym jest zawartość mieszana?

Protokół HTTP to system przesyłania informacji pomiędzy serwerem sieciowym a twoją przeglądarką. Protokół HTTP nie jest zaszyfrowany, więc kiedy odwiedzasz stronę internetową przesyłaną za pomocą protokołu HTTP, połączenie może być śledzone i jest narażone na ataki typu man-in-the-middle. Większość stron internetowych przesyłana jest za pośrednictwem protokołu HTTP ponieważ nie przekazują poufnych informacji i nie muszą być zabezpieczone.

Gdy odwiedzasz stronę przesyłaną za pomocą protokołu HTTPS (np. taką jak bank), zobaczysz w pasku adresu ikonę zielonej kłódki (więcej informacji na ten temat znajdziesz na stronie Przycisk tożsamości witryny). Oznacza to, że połączenie jest uwierzytelnione, szyfrowane i zabezpieczone przed podsłuchem oraz atakami typu man-in-the-middle.

Jeśli odwiedzane strony przesyłane za pomocą protokołu HTTPS zawierają także treści przesyłane za pomocą protokołu HTTP, to fragmenty te narażone są na odczytanie i zmodyfikowanie przez osobę próbującą dokonać ataku, nawet jeżeli główna strona jest przesyłana za pomocą protokołu HTTPS. Gdy strona zabezpieczona (HTTPS) zawiera treści niezabezpieczone (HTTP), wówczas mamy do czynienia z zawartością „mieszaną”. Odwiedzana strona jest tylko częściowo szyfrowana i mimo, że wydaje się w pełni bezpieczna, wcale tak nie jest.

Uwaga: Więcej informacji na temat zawartości mieszanej (aktywnej i pasywnej) znajdziesz w tym oficjalnym wpisie na blogu (w języku angielskim).

Jakie zagrożenia niesie ze sobą zawartość mieszana?

Osoba dokonująca ataku może na stronach z zawartością mieszaną zastąpić zawartość HTTP, by wykraść dane potwierdzające tożsamość, przejąć konto, zdobyć poufne dane lub próbować zainstalować na komputerze złośliwe oprogramowanie.

Opcje blokowania

Większość stron będzie funkcjonowała normalnie bez konieczności podejmowania jakiegokolwiek działania.

Jeśli chcesz zezwolić na ładowanie, wyświetlanie lub uruchamianie częściowo szyfrowanej zawartości, możesz tego dokonać w prosty sposób:

  • Kliknij ikonę tarczy Mixed Content Shield w pasku adresu, a następnie Opcje i wybierz Tymczasowo wyłącz ochronę.
Insecure2 34 - Win

Insecure2 39 - Lin en

  • Ikona na pasku adresu zmieni się w pomarańczowy trójkąt ostrzegawczy Warning Identity Icon by przypomnieć ci o dozwolonym wyświetlaniu niezaszyfrowanej zawartości.

Jeśli na odwiedzanej stronie obecna jest niezaszyfrowana zawartość, ikona tarczy jest przekreślona na czerwono. Aby ponownie zablokować częściowo szyfrowaną zawartość, kliknij ikonę tarczy, a następnie Opcje i wybierz Włącz ochronę.

Insecure3 34 - Win

Insecure3 39 - Lin en Częściowo szyfrowana zawartość strony zostanie również automatycznie zablokowana jeśli odwiedzisz inną stronę w tej samej karcie, a następnie wrócisz do poprzednio odwiedzanej strony w nowej karcie.

Szary trójkąt w pasku adresu

Mixed passive content

Mixed passive content fx39 Linux en Firefox blokuje jedynie potencjalnie szkodliwą część zawartości HTTP, więc niektóre strony mogą wciąż zawierać inną zawartość HTTP (obrazy, wideo, audio). W tym wypadku, połączenie pomiędzy Firefoksem a stroną jest wciąż częściowo szyfrowane i nie powinno być uważane za w pełni zabezpieczone przed śledzeniem. Firefox oznajmia ten fakt za pomocą ikony szarego trójkąta.

Firefox chroni przed atakami blokując potencjalnie szkodliwą, nieszyfrowaną zawartość na stronach internetowych, które powinny być zaszyfrowane. Poniżej znajdziesz wyjaśnienie częściowo szyfrowanej zawartości stron i sposoby identyfikacji ich zablokowania przez Firefoksa.

Czym jest zawartość mieszana?

Protokół HTTP to system przesyłania informacji pomiędzy serwerem sieciowym a twoją przeglądarką. Protokół HTTP nie jest zaszyfrowany, więc kiedy odwiedzasz stronę internetową przesyłaną za pomocą protokołu HTTP, połączenie może być śledzone i jest narażone na ataki typu man-in-the-middle. Większość stron internetowych przesyłana jest za pośrednictwem protokołu HTTP ponieważ nie przekazują poufnych informacji i nie muszą być zabezpieczone.

Gdy odwiedzasz stronę przesyłaną za pomocą protokołu HTTPS (np. taką jak bank), zobaczysz w pasku adresu ikonę zielonej kłódki (więcej informacji na ten temat znajdziesz na stronie Przycisk tożsamości witryny). Oznacza to, że połączenie jest uwierzytelnione, szyfrowane i zabezpieczone przed podsłuchem oraz atakami typu man-in-the-middle.

Jeśli odwiedzane strony przesyłane za pomocą protokołu HTTPS zawierają także treści przesyłane za pomocą protokołu HTTP, to fragmenty te narażone są na odczytanie i zmodyfikowanie przez osobę próbującą dokonać ataku, nawet jeżeli główna strona jest przesyłana za pomocą protokołu HTTPS. Gdy strona zabezpieczona (HTTPS) zawiera treści niezabezpieczone (HTTP), wówczas mamy do czynienia z zawartością „mieszaną”. Odwiedzana strona jest tylko częściowo szyfrowana i mimo, że wydaje się w pełni bezpieczna, wcale tak nie jest.

Uwaga: Więcej informacji na temat zawartości mieszanej (aktywnej i pasywnej) znajdziesz w tym oficjalnym wpisie na blogu (w języku angielskim).

Jakie zagrożenia niesie ze sobą zawartość mieszana?

Osoba dokonująca ataku może na stronach z zawartością mieszaną zastąpić zawartość HTTP, by wykraść dane potwierdzające tożsamość, przejąć konto, zdobyć poufne dane lub próbować zainstalować na komputerze złośliwe oprogramowanie.

Jak zidentyfikować stronę z częściowo zaszyfrowaną zawartością?

Ikona w pasku adresu ułatwia rozpoznanie stron z częściowo zaszyfrowaną zawartością.

mixed content icon url 42

Brak częściowo zaszyfrowanej zawartości: brak zagrożenia

  • green lock 42 : Zielona ikona oznacza, że odwiedzana strona jest w pełni zaszyfrowana i nie próbuje ładować niezaszyfrowanej zawartości.

Częściowo zaszyfrowana zawartość jest blokowana: brak zagrożenia

  • blocked secure 42 : Zielona ikona z szarym trójkątem ostrzeżenia oznacza, że odwiedzana strona zawiera częściowo zaszyfrowaną zawartość, ale jest ona blokowana przez Firefoksa. Odwiedzana strona jest bezpieczna. Kliknij ikonę, by wyświetlić szczegółowe informacje na temat bezpieczeństwa na tej stronie.

Częściowo zaszyfrowana zawartość nie jest blokowana: zagrożenie

  • unblocked mixed content 42 : Przekreślono na czerwono ikona oznacza, że Firefox nie blokuje częściowo zaszyfrowanej zawartości, a odwiedzana strona nie chroni przed nieautoryzowanym śledzeniem i atakami mającymi na celu kradzież prywatnych danych. Ikona ta nie powinna być wyświetlana, o ile wyświetlanie częściowo zaszyfrowanej zawartości nie zostało odblokowane, zgodnie z instrukcjami poniżej.
  • orange triangle grey lock 42 : Szara ikona z pomarańczowym trójkątem oznacza, że Firefox nie blokuje pasywnej, niezaszyfrowanej zawartości. Potencjalni napastnicy mogą manipulować elementami strony, przykładowo wyświetlając zwodnicze lub nieodpowiednie treści, ale nie powinni być w stanie ukraść twoich prywatnych danych z tej strony.

Odblokowanie częściowo zaszyfrowanej zawartości

Odradzamy odblokowanie niezaszyfrowanych elementów, ale jest ono możliwe jeśli zaistniała taka konieczność:

  1. Kliknij ikonę kłódki w pasku adresu.
  2. Kliknij strzałkę w wyświetlonym oknie:
    unblock mixed content 42
  3. Kliknij Tymczasowo wyłącz ochronę.
    disable protection 42

Aby włączyć ochronę, wykonaj te same czynności, na końcu klikając opcję Włącz ochronę.

Uwaga: Odblokowanie częsciowo zaszyfrowanej zawartości czyni twoją przeglądarkę wrażliwa na złośliwe ataki.
Programiści: Jeśli twoja strona wyświetla ostrzeżenia bezpieczeństwa z powodu wyświetlania niezaszyfrowanej zawartości, zapoznaj się ze stroną wyjaśniającą jak naprawić problematyczną stronę.

Czy ten artykuł okazał się pomocny? Proszę czekać…

Osoby, które pomogły w tworzeniu tego artykułu: teo951, chmura, vesper. Ty też możesz pomóc - sprawdź jak.