不安全的內容如何影響我的安全?

註:更新您的 Firefox以享有最新功能。

當您在瀏覽一個應該要完全受保護,但是包含不安全內容的網頁時,Firefox 將封鎖不安全的內容並在網址列顯示盾牌圖示。我們將解釋甚麼是混合內容,為何 Firefox 會將其封鎖,以及您有什麼選擇。

Insecure1 34 - Win

Insecure1 39 - Lin en

混合內容 (mixed content) 是什麼?

HTTP 通訊協定是用於從 web 伺服器傳遞訊息到您瀏覽器的系統。HTTP 本身並不安全,因此當您使用 HTTP 通訊協定瀏覽網頁時,就可能會被竊聽或遭受中間人攻擊 (man-in-the-middle)。大多數網站都使用 HTTP,因為它們並不會在網路上傳遞敏感資訊,所以不需要保密。

如果您拜訪的網站是像網路銀行等完整使用 HTTPS 傳輸的頁面(網址列顯示灰色鎖頭圖示綠色鎖頭圖示),您將可驗明網站正身,並受到加密連線保護,可以防止他人竊聽或中間人攻擊。

可是,如果這個 HTTPS 頁面包含了部分 HTTP 內容,就算主要的部分是以 HTTPS 傳輸,但當中使用 HTTP 傳輸的部分還是可以被攻擊者閱讀或修改。這種包含 HTTP 內容的 HTTPS 頁面,只有部分經過加密,我們便稱它是「混合」內容。

Mixed Content Requests
注意: 有關混合內容的資訊,如主動式混合內容和被動式混合內容等,請參考 這篇文章

混合內容有什麼風險?

攻擊者可以替換混合內容網站上的 HTTP 部分,在您拜訪網站時竊取您的個人資料、接管您的帳戶,取得您的私人訊息,甚至在您的電腦上安裝惡意軟體。

我有什麼選擇

多數網頁會在不需要任何動作的情況下正常運作。

如果您需要讓混合內容被載入、顯示或執行,您可以簡單地採取下列步驟:

  • 選擇網址列中的 盾牌圖示 Mixed Content Shield 選擇 選項 並選擇 暫時停止保護
Insecure2 34 - Win

Insecure2 39 - Lin en

  • 網址列中的圖示會變更為橘色的警告三角形 Warning Identity Icon 以提醒您不安全的內容正被顯示。

當不安全的內容被顯示時,盾牌圖示會有一條紅色刪除線。欲重新封鎖不安全的內容,再次選擇盾牌圖示,選擇 選項 並按下 啟用保護

Insecure3 34 - Win

Insecure3 39 - Lin en 當您用現在的分頁瀏覽其它頁面後回到原本的頁面,或者用新分頁開啟該頁面後,內容將會自動被重新封鎖。

圖示為灰色三角形

Mixed passive content

Mixed passive content fx39 Linux en 只有具潛在危險的 HTTP 內容部分會被封鎖,因此某些網站還是會有 HTTP 內容(如影像、視訊或音訊)。這種情況下,Firefox 與網站之間的連線依然是部分加密,無法將它視為安全、未被竊聽,因此會顯示灰色地球圖示

Firefox 保護您在應該受保護的網頁中,避免受到具潛在風險、不安全的內容攻擊。繼續閱讀以瞭解更多關於混合內容的概念,以及如何辨別 Firefox 是否已封鎖它。

混合內容 (mixed content) 是什麼?

HTTP 通訊協定是用於從 web 伺服器傳遞訊息到您瀏覽器的系統。HTTP 本身並不安全,因此當您使用 HTTP 通訊協定瀏覽網頁時,就可能會被竊聽或遭受中間人攻擊 (man-in-the-middle)。大多數網站都使用 HTTP,因為它們並不會在網路上傳遞敏感資訊,所以不需要保密。

如果您拜訪的網站是像網路銀行等完整使用 HTTPS 傳輸的頁面(網址列顯示灰色鎖頭圖示綠色鎖頭圖示),您將可驗明網站正身,並受到加密連線保護,可以防止他人竊聽或中間人攻擊。

可是,如果這個 HTTPS 頁面包含了部分 HTTP 內容,就算主要的部分是以 HTTPS 傳輸,但當中使用 HTTP 傳輸的部分還是可以被攻擊者閱讀或修改。這種包含 HTTP 內容的 HTTPS 頁面,只有部分經過加密,我們便稱它是「混合」內容。

Mixed Content Requests
注意: 有關混合內容的資訊,如主動式混合內容和被動式混合內容等,請參考 這篇文章

混合內容有什麼風險?

攻擊者可以替換混合內容網站上的 HTTP 部分,在您拜訪網站時竊取您的個人資料、接管您的帳戶,取得您的私人訊息,甚至在您的電腦上安裝惡意軟體。

如何知道頁面是否含有混合內容?

請在您的網址列尋找此圖示,以確定該頁面是否含有混合內容。

mixed content icon url 42

沒有混合內容:受保護

  • green lock 42 :當您在一個完全受保護並且沒有試圖載入不安全內容的元素時,您將看到一個綠色鎖頭。

混合內容已被封鎖:受保護

  • blocked secure 42 :當 Firefox 已經封鎖任何不安全的元素時,您將看到一個綠色鎖頭與灰色警告三角形。這表示此頁面已完全受保護。按下圖示以展開控制中心並瞭解更多該頁面的安全細節。

混合內容未被封鎖:未受保護

  • unblocked mixed content 42 :如果您看到一個被紅線穿越的鎖頭,表示 Firefox 並未封鎖不安全的元素,該頁面存在個人資料被竊聽與攻擊的風險。除非你透過接下來的指引解除了封鎖,否則您不應該看到這個圖示。
  • orange triangle grey lock 42 :一個灰色鎖頭與橘色三角形表示 Firefox 並未封鎖不安全的被動元素。攻擊者可能操作頁面的部分元素,舉例來說,顯示誤導或不當的內容,但他們不能從該網站竊取您的個人資料。

解除封鎖混合內容

解除封鎖不安全的內容是不被建議的,但您仍可透過以下方式完成:

  1. 選擇網址列的鎖頭圖示
  2. 選擇控制中心的箭頭
    unblock mixed content 42
  3. 選擇 暫時停止保護.
    disable protection 42

欲啟用保護,遵循前述步驟並按下 啟用保護

警告: 解除封鎖混合內容可能使你遭受攻擊。
給開發者: 如果您的網站由於不安全的內容,正在產生安全錯誤,請參閱此篇 MDN 文章 如何修復包含不安全內容的網站


分享此文件: http://mzl.la/1klqkmQ

這篇文章有幫助嗎? 請稍候...

這些人們幫忙撰寫了這篇文章: petercpg, dibery, carl_tw, wildsky, bobby1030。您也可以幫忙 - 看看要怎麼作