不安全的內容如何影響我的安全?

Firefox 保護您在應該受保護的網頁中,避免受到具潛在風險、不安全的內容攻擊。繼續閱讀以瞭解更多關於混合內容的概念,以及如何辨別 Firefox 是否已封鎖它。

混合內容 (mixed content) 是什麼?

HTTP 通訊協定是用於從 web 伺服器傳遞訊息到您瀏覽器的系統。HTTP 本身並不安全,因此當您使用 HTTP 通訊協定瀏覽網頁時,就可能會被竊聽或遭受中間人攻擊 (man-in-the-middle)。大多數網站都使用 HTTP,因為它們並不會在網路上傳遞敏感資訊,所以不需要保密。

如果您拜訪的網站是像網路銀行等完整使用 HTTPS 傳輸的頁面,您會在網址列上看到綠色鎖頭圖示(請參閱 我怎麼知道是否連上安全的網站? 了解更多細節)。這表示您將可驗明網站正身,並受到加密連線保護,可以防止他人竊聽或中間人攻擊。

可是,如果這個 HTTPS 頁面包含了部分 HTTP 內容,就算主要的部分是以 HTTPS 傳輸,但當中使用 HTTP 傳輸的部分還是可以被攻擊者閱讀或修改。這種包含 HTTP 內容的 HTTPS 頁面,只有部分經過加密,我們便稱它是「混合」內容。

注意: 有關混合內容的資訊,如主動式混合內容和被動式混合內容等,請參考 這篇文章

混合內容有什麼風險?

攻擊者可以替換混合內容網站上的 HTTP 部分,在您拜訪網站時竊取您的個人資料、接管您的帳戶,取得您的私人訊息,甚至在您的電腦上安裝惡意軟體。

如何知道頁面是否含有混合內容?

請在您的網址列尋找此圖示,以確定該頁面是否含有混合內容。

green lock 52

沒有混合內容:受保護

  • green lock 42 :當您在一個完全安全的網頁時,您將看到一個綠色鎖頭。點選該綠色鎖頭就可以看到 Firefox 是否阻擋了不安全的內容。更多資訊請參考解除封鎖混合內容

混合內容已被封鎖:受保護

  • blocked secure 42 :當 Firefox 已經封鎖任何不安全的元素時,您將看到一個綠色鎖頭與灰色警告三角形。這表示此頁面已完全受保護。按下圖示以展開 控制中心 並瞭解更多該頁面的安全細節。

混合內容未被封鎖:未受保護

  • unblocked mixed content 42 :如果您看到一個被紅線穿越的鎖頭,表示 Firefox 並未封鎖不安全的元素,該頁面存在個人資料被竊聽與攻擊的風險。除非你透過接下來的指引解除了封鎖,否則您不應該看到這個圖示。
  • orange triangle grey lock 42 :一個灰色鎖頭與橘色三角形表示 Firefox 並未封鎖不安全的被動元素。攻擊者可能操作頁面的部分元素,舉例來說,顯示誤導或不當的內容,但他們不能從該網站竊取您的個人資料。

解除封鎖混合內容

解除封鎖不安全的內容是不被建議的,但您仍可透過以下方式完成:

  1. 選擇網址列的鎖頭圖示
  2. 選擇控制中心的箭頭
    unblock mixed content 42 blocked 52
  3. 選擇 暫時停止保護.
    disable protection 42 disable blocking 52

欲啟用保護,遵循前述步驟並按下 啟用保護

警告: 解除封鎖混合內容可能使你遭受攻擊。
給開發者: 如果您的網站由於不安全的內容,正在產生安全錯誤,請參閱此篇 MDN 文章 如何修復包含不安全內容的網站

這篇文章有幫助嗎? 請稍候...

這些人們幫忙撰寫了這篇文章: petercpg, dibery, carl_tw, wildsky, bobby1030, david675566。您也可以幫忙 - 看看要怎麼作