Firefox for Android 中的混合內容阻擋功能

最新版的 Firefox for Android 中已經改善了這個功能。請 更新 Firefox for Android 來使用這個版本。

當您在網址列看到盾牌圖示,表示 Firefox for Android 阻擋了在您造訪的頁面中不安全的內容。我們會解釋這代表的意思以及您有幾個選項。

mixed content on android

HTTP 是用於從 web 伺服器傳送資料到您瀏覽器的通訊協定。但由於 HTTP 為明文傳輸,因此當您使用 HTTP 通訊協定瀏覽網頁時,就可能會被竊聽或遭受中間人攻擊 (man-in-the-middle)。大多數網站都使用 HTTP,因為它們並不會在網路上傳遞敏感資訊,所以不需要保密。

如果您拜訪的網站是像網路銀行等完整使用 HTTPS 傳輸的頁面,您會在網址列上看到綠色鎖頭圖示(請參閱 我怎麼知道是否連上安全的網站? 了解更多細節)。這表示您將可驗明網站正身,並受到加密連線保護,可以防止他人竊聽或中間人攻擊。

但是當 HTTPS 頁面包含了部分 HTTP 內容時,就算主要的部分是以 HTTPS 傳輸,但當中使用 HTTP 傳輸的部分還是可以被攻擊者閱讀或修改。這種包含 HTTP 內容的 HTTPS 頁面,只有部分經過加密,我們便稱它是「混合」內容。更多有關(主動式及被動式的)混合式內容的資訊,請參見 這篇部落格文章

混合式內容有什麼風險?攻擊者可以替換混合內容網站上的 HTTP 部分,在您拜訪網站時竊取您的個人資料、接管您的帳戶,取得您的私人訊息,甚至在您的電腦上安裝惡意軟體。

我有什麼選項?

大多數網站在您沒有任何動作時仍然可以正常的使用。

如果您需要允許顯示混合內容,您可以簡單的達成:

  1. 點一下在網址列上的盾牌圖示 Mixed Content Shield ,接著會打開一個下拉式選單。
  2. 然後點一下 停用保護
    Disable mixed content Android
    • 在網址列的圖示會換成一個打叉的盾牌圖示以提醒您正在顯示不安全的內容。
android insecure not 42

若要回復上一個動作(再次阻擋混合內容),請在新分頁中重新造訪此頁面。

Firefox 透過阻擋頁面中潛在有害的不安全內容,可自動保護您免於受到攻擊。Firefox 會顯示灰色警告三角形或是打叉的鎖頭以指示頁面有載入混合內容。

HTTP 是用於從 web 伺服器傳送資料到您瀏覽器的通訊協定。但由於 HTTP 為明文傳輸,因此當您使用 HTTP 通訊協定瀏覽網頁時,就可能會被竊聽或遭受中間人攻擊 (man-in-the-middle)。大多數網站都使用 HTTP,因為它們並不會在網路上傳遞敏感資訊,所以不需要保密。

如果您拜訪的網站是像網路銀行等完整使用 HTTPS 傳輸的頁面,您會在網址列上看到綠色鎖頭圖示(請參閱 我怎麼知道是否連上安全的網站? 了解更多細節)。這表示您將可驗明網站正身,並受到加密連線保護,可以防止他人竊聽或中間人攻擊。

但是當 HTTPS 頁面包含了部分 HTTP 內容時,就算主要的部分是以 HTTPS 傳輸,但當中使用 HTTP 傳輸的部分還是可以被攻擊者閱讀或修改。這種包含 HTTP 內容的 HTTPS 頁面,只有部分經過加密,我們便稱它是「混合」內容。更多有關(主動式及被動式的)混合式內容的資訊,請參見 這篇部落格文章

混合式內容有什麼風險?攻擊者可以替換混合內容網站上的 HTTP 部分,在您拜訪網站時竊取您的個人資料、接管您的帳戶,取得您的私人訊息,甚至在您的電腦上安裝惡意軟體。

我該如何知道頁面有混合內容?

如果您在網址列看到綠色鎖頭圖示,那麼頁面是安全的。若頁面有任何不安全的元素,Firefox 會阻擋這些元素讓頁面保持安全。點一下圖示可檢視更多安全性資訊,並看到 Firefox 是否已經阻擋任何不安全的元素。

tap lock icon 42 android

當頁面載入並顯示不安全的被動式內容,Firefox 會顯示灰色的警告三角形。若您看到此圖示,請注意攻擊者可能可以操控部份的頁面,舉例來說,顯示誤導您或是不合適的內容,但是他們不能從網站中竊取您的個人資料。

warning triangle 42 android

若您看到上方有紅線劃過的鎖頭,那表示 Firefox 沒有阻擋不安全的元素,網頁會被竊聽,您從網站來的個人資料可能會被竊取。除非您使用下個段落的指示取消阻擋混合內容,不然您不應該看到此圖示。

mixed content off 42 android

僅適用於進階使用者:取消阻擋混合內容

若您需要取消阻擋混合內容,您可以變更您的 about:config 設定來達成。這個設定會影響所有您造訪的頁面:

  1. 前往 about:config
  2. 變更 security.mixed_content.block_active_content 設定為 false 可不阻擋 HTTP 內容。
  3. 當您看到打紅色叉的鎖頭時,Firefox 並沒有阻擋潛在有害的不安全內容:
    mixed content off 42 android
警告: 取消阻擋混合內容會讓您容易受到攻擊。
開發者: 若您的網站由於不安全的內容所以產生安全性錯誤,請參閱本篇 MDN 文章 how to fix a website with mixed content
//這些人們幫忙撰寫了這篇文章:EricTsai您也可以幫忙 - 看看要怎麼作

這篇文章有幫助嗎? 請稍候...

成為 Mozilla 技術支援站的志工