قام كل من Google Chrome وMozilla Firefox بتنفيذ عمليات "حظر المحتوى المختلط" لحماية أجهزة الكمبيوتر من الهجمات الأمنية التي تتعرض لها من خلال المحتوى غير المؤمن الوارد من الصفحات المؤمنة.


ما هو المحتوى المختلط ولماذا يعتبر مهمًا؟

عادة تستخدم مواقع الويب التي تطلب الحصول على معلومات حساسة، مثل أسماء المستخدمين وكلمات المرور، اتصالات أمنة (https) لنقل المحتوى من وإلى الكمبيوتر الذي تستخدمه. فإذا كنت تزور موقعًا من خلال اتصال آمن فإن كل من Google Chrome وFirefox يتحققان من أن المحتوى الموجود على صفحة الويب قد تم نقله بأمان. وفي حالة اكتشاف أي من المستعرضين وجود أنواع من المحتوى على الصفحة واردة من قنوات غير آمنة (http)، فسيمنع المستعرض تلقائيًا تحميل المحتوى وسترى رمز الدرع ظاهرًا على شريط العناوين.

وعن طريق حظر المحتوى والفجوات الأمنية المحتملة، فإن Chrome وFirefox يحميان معلوماتك الموجودة على الصفحة من الوقوع بين الأيدي غير الصحيحة.


أنواع المحتوى المختلط

يوجد نوعان من المحتوي يؤثران على تجربة المستخدم في عرض صفحة الويب، في سياق "المحتوى المختلط"، وينطوي كل منهما على مستويات مختلفة من المخاطرة:

  • المحتوى المختلط غير النشط أو عرض المحتوى
  • المحتوى النشط المختلط أو محتوى البرنامج النصي

المحتوى غير النشط المختلط أو محتوى العرض

يعتبر المحتوى المختلط غير النشط هو محتوى HTTP موجود على موقع ويب HTTPS لا يمكنه تبديل نموذج كائن المستند (DOM) لصفحة الويب. وبشكل أبسط، يمتلك محتوى HTTP غير النشط تأثيرًا محدودًا على موقع ويب HTTPS. على سبيل المثال، يستطيع المهاجم استبدال صورة محفوظة على HTTP بصورة غير لائقة أو رسالة مضللة للمستخدم. ومع هذا، فإن المهاجم لا يمتلك القدرة على التأثير على باقي صفحة الويب، ولكنه يؤثر فقط على جزء الصفحة التي تم تحميل الصورة عليها.

يستطيع المهاجم استدلال المعلومات حول نشاط استعراض المستخدم عن طريق مراقبة الصور المقدمة للمستخدم، ومن ثم يستطيع اكتشاف الصفحات التي تمت زيارتها. كما أنه مع ملاحظة رؤوس HTTP المرسلة لاستعادة الصورة وتسليمها يستطيع المهاجم عرض سلسلة وكيل المستخدم وأي ملفات تعريف ارتباط مقترنة بالمجال الذي تم طلب الصورة منه. وفي حالة تقديم المحتوى من نفس المجال الخاص بصفحة الويب الرئيسية، فقد تكون معلومات الجلسة مكشوفة مما يؤثر على حماية HTTPS المتوفرة لحساب المستخدم.

ومن أمثلة المحتوى غير النشط نجد تحميلات الصور والصوت والفيديو.

المحتوى النشط المختلط أو محتوى البرنامج النصي

يعتبر المحتوى النشط عبارة عن محتوى يمكنه الوصول إلى نموذج كائن المستند (DOM) لصفحة HTTPS بأكمله أو أجزاء منه ويمكن أو يؤثر عليه. ويستطيع هذا النوع من المحتوى المختلط تبديل سلوك صفحة HTTPS واحتمال سرقة البيانات الحساسة من المستخدم. وبالإضافة إلى المخاطر الموصوفة بالفعل للمحتوى المختلط غير النشط المذكور أعلاه، فإن المحتوى النشط المختلط معرض أيضاً لعدد من موجهات الهجمات المحتملة.

مثال: يستطيع مهاجم "رجل في الوسط" (MITM) اعتراض طلبات محتوى HTTP النشط. ويستطيع المهاجم بعد ذلك إعادة كتابة الرد ليتضمن رمز JavaScript الخبيث. ويستطيع البرنامج النصي الخبيث سرقة بيانات اعتماد المستخدم، أو الحصول على البيانات الحساسة الخاصة بالمستخدم أو محاولة تثبيت برنامج خبيث على نظام المستخدم (عن طريق التحكم في المكونات الإضافية العرضة للهجمات التي ثبتها المستخدم على سبيل المثال).

ومن أمثلة المحتوى النشط JavaScript وCSS والكائنات وطلبات xhr وiframes والخطوط.


القضاء على الحاجة لعناصر تحكم المستعرض الخاصة بالمستخدم

لتحسين تجربة المستخدم والتخلص من حاجة المستخدمين لضبط إعدادات المستعرض، يجب تقديم جميع المحتوى عبر HTTPS.


إدارة المستعرض للمحتوى المختلط

بعد مراجعة الأمثلة الموجودة على موقع Mozilla على الويب، ستشاهد تأثير المحتوى المختلط على تجربة الاستعراض الخاصة بالمستخدم وستتمكن من تفهم تأثير إعدادات المستعرض على الاحتفاظ بالصفحة.

لاحظ أن مفاهيم حظر المحتوى المختلط تتشابه عبر المستعرضات وأن إدارة الوصول ومستويات المعلومات هي الفروق الأساسية بين المستعرضات التي تدعم حظر المحتوى المختلط.

قد تتضمن صفحات الويب الآمنة التي يتم تقديمها عبر HTTPS عناصر غير آمنة التي قد تجعل المعلومات عرضه لهجمات البرامج الضارة. عند احتواء الصفحة على عناصر آمنة وغير آمنة، فتسمى "محتوى مختلط".

ولحمايتك من المخاطر المتعلقة بـ "المحتوى المختلط"، يقوم مستعرض Mozilla Firefox بحظر المحتوى غير الآمن من الظهور على الصفحات الآمنة الأخرى. إذا كنت تشعر بالراحة عند التنقل في صفحة تحتوي على عناصر غير آمنة، فيمكنك اختيار عرض هذا المحتوى من خلال بضع خطوات. وتشرح هذه المقالة كيفية إدارة عناصر تحكم المستعرض الخاصة بالوصول إلى "المحتوى المختلط" لمستعرضات Mozilla Firefox الإصدار 23 والأحدث.


إدارة إعدادات المحتوى المحظور

عندما تقوم بزيارة صفحة تتضمن "محتوى مختلط" في Firefox، سيظهر رمز في شريط الموقع. مما يشير إلى حظر بعض المحتويات. انقر فوق الأيقونة لتعطيل ميزة الحماية هذه بشكل مؤقت واعرض المحتوى غير الآمن.

حدد تعطيل الحماية الآن إذا كنت ترغب في عرض هذا المحتوى. ستتم إعادة تحميل الصفحة وسيظهر رمزين في شريط المواقع، درع يتخلله خط أحمر ومثلث باللون الأصفر يحتوي على علامة تعجب. يوجد هذين الرمزين لتذكيرك باحتمال قيام بعض المحتوى الموجود على الصفحة بتعريض معلوماتك للخطر.


Firefox: حظر المحتوى المختلط

يستخدم Mozilla Firefox حظر المحتوى المختلط لحماية معلوماتك، لكنه يسمح لك أيضًا باختيار ما إذا كنت تريد عرض المحتوى النشط المختلط أم لا. يمكن لهذا النوع من المحتوى تبديل سلوك الصفحة بالكامل وقد يسطو على بيانات هامة تخص المستخدم. ولكن، لا يمكن لـ "المحتوى الساكن المختلط" تبديل سلوك الصفحة بالكامل، يمكنه فقط التأثير على جزء محتوى HTTP (غير الآمن).

يعتبر "المحتوى الساكن المختلط" هو المحتوى الشائع عبر الإنترنت ويتضمن عناصر صفحة الويب مثل الصور، والصوت، والفيديو. لا يقوم Firefox تلقائيًا بحظر هذا النوع من المحتوى حيث أنه سيقوم بقطع العديد من صفحات الويب مما سيؤدي إلى إفساد تجربة المستخدم. ولكن توجد طريقة لـ حظر المحتوى غير النشط المختلط عن طريق تحرير تكوين المستعرض.


قراءات أخرى

يمكن العثور على مزيد من المعلومات حول "المحتوى المختلط" في المقالات التالية في موقع Mozilla على الويب: