不安全的內容如何影響我的安全?

此文章可能已經過時。

此文章的原文版本已經做出了重大更動。在此頁面更新前,您可能也會覺得這個有用: Mixed content blocking in Firefox

Firefox 會在加密網頁中,保護您避免受到具潛在風險、不安全的內容攻擊。繼續閱讀以瞭解更多關於混合內容的概念,以及如何辨別 Firefox 是否已封鎖它。

什麼是混合式內容?它有什麼風險?

HTTP 是用於從 web 伺服器傳送資料到您瀏覽器的通訊協定。但由於 HTTP 為明文傳輸,因此當您使用 HTTP 通訊協定瀏覽網頁時,就可能會被竊聽或遭受中間人攻擊 (man-in-the-middle)。大多數網站都使用 HTTP,因為它們並不會在網路上傳遞敏感資訊,所以不需要保密。

如果您拜訪的網站是像網路銀行等完整使用 HTTPS 傳輸的頁面,您會在網址列上看到綠色鎖頭圖示(請參閱 我怎麼知道是否連上安全的網站? 了解更多細節)。這表示您將可驗明網站正身,並受到加密連線保護,可以防止他人竊聽或中間人攻擊。

但是當 HTTPS 頁面包含了部分 HTTP 內容時,就算主要的部分是以 HTTPS 傳輸,但當中使用 HTTP 傳輸的部分還是可以被攻擊者閱讀或修改。這種包含 HTTP 內容的 HTTPS 頁面,只有部分經過加密,我們便稱它是「混合」內容。更多有關(主動式及被動式的)混合式內容的資訊,請參見 這篇部落格文章

混合式內容有什麼風險?攻擊者可以替換混合內容網站上的 HTTP 部分,在您拜訪網站時竊取您的個人資料、接管您的帳戶,取得您的私人訊息,甚至在您的電腦上安裝惡意軟體。

如何知道頁面是否含有混合式內容?

混合式內容有兩種:被動/顯示型混合內容以及主動型混合內容,依據威脅性予以分類。請看看您的網址列有沒有以下鎖頭圖示,以確定該頁面是否含有混合內容。

green lock 52 Green Padlock Quantum (Highlighted)
註:網址列中的盾牌圖示 Address bar shield 代表已封鎖其它內容,請參閱隱私瀏覽中的追蹤保護內容封鎖功能

沒有混合內容:受保護

  • green lock 42 :當您在一個完全加密的網頁時,您將看到一個綠色鎖頭。點選該綠色鎖頭就可以看到 Firefox 是否阻擋了不安全的內容。更多資訊請參考下方解除封鎖混合內容段。

混合內容未被封鎖:未受保護

  • unblocked mixed content 42 :如果您看到一個被紅線穿越的鎖頭,此頁面具有主動型混合內容,而且 Firefox 並未封鎖它們。該頁面存在個人資料被竊聽與攻擊的風險。除非你透過接下來的指引解除了封鎖,否則您不應該看到這個圖示。
  • orange triangle grey lock 42 :一個灰色鎖頭與橘色三角形表示 Firefox 並未封鎖如圖片等不安全的被動內容。Firefox 預設不會阻擋混合式的被動內容;您只會看到顯示此網頁並非安全無虞的警告訊息。攻擊者可能操作頁面的部分元素,舉例來說,顯示誤導或不當的內容,但他們不能從該網站竊取您的個人資料。

更多關於主動型及被動型混合內容的資訊,請參見這篇 Mozilla 網路開發者的文章

解除封鎖混合內容

我們不建議您解除封鎖不安全的內容,但必要時您仍可透過以下方式完成:

  1. 選擇網址列的鎖頭圖示
  2. 選擇控制中心的箭頭
    Fx62MixedContent Fx63MixedContent
  3. 選擇 暫時停止保護.
    Fx63MixedContent-DisableProtection

欲啟用保護,按前述步驟操作並按下 啟用保護

警告: 解除封鎖混合內容可能使你遭受攻擊。
給開發者: 如果您的網站由於不安全的內容,正在產生安全錯誤,請參閱此篇 MDN 文章 如何修復包含不安全內容的網站
//這些人們幫忙撰寫了這篇文章:Peter Chen, Bor, Carl, wildsky, BobbyHo, David Kuo您也可以幫忙 - 看看要怎麼作

這篇文章有幫助嗎? 請稍候...

成為 Mozilla 技術支援站的志工