Безопасность обозревателя и смешанное содержимое
В обозревателях Google Chrome и Mozilla Firefox реализованы процессы блокировки смешанного содержимого для защиты компьютеров от атак на систему безопасности со стороны незащищенного содержимого, ссылки на которое содержат защищенные страницы.
Что такое смешанное содержимое и почему это имеет значение?
Веб-сайты, которые запрашивают конфиденциальную информацию, такую как имена пользователей и пароли, часто используют безопасные соединения (https) для обмена содержимым с используемым компьютером. Если посещение сайта осуществляется через безопасное соединение, и Google Chrome, и Firefox проверяют безопасность передачи содержимого на веб-страницу. Если на странице, поступившей через незащищенные каналы (http), какой-либо обозреватель находит определенные типы содержимого, он автоматически предотвратит загрузку содержимого и в адресной строке отобразится значок щита.
Блокируя содержимое и возможные бреши в системе безопасности, браузеры Chrome и Firefox предотвращают попадание информации к злоумышленникам.
Типы смешанного содержимого
Существует два типа содержимого, которые влияют на работу пользователя при просмотре веб-страницы. В контексте смешанного содержимого каждый из них имеет различные уровни риска.
- Смешанное пассивное содержимое или содержимое отображения
- Смешанное активное содержимое или содержимое сценария
Смешанное пассивное содержимое или содержимое отображения
Смешанное пассивное содержимое — это HTTP-содержимое на веб-сайте HTTPS, которое не может изменить модель DOM веб-страницы. Проще говоря, пассивное содержимое HTTP оказывает ограниченное воздействие на HTTPS-сайт. Например, злоумышленник мог бы заменить изображение, предоставляемое через HTTP, недопустимым изображением или сообщением, вводящим пользователя в заблуждение. Однако у злоумышленника нет возможности воздействовать на остальную часть веб-страницы, за исключением той части, на которую загружено изображение.
Злоумышленник может делать выводы о посещениях пользователем веб-страниц, наблюдая, какие изображения предоставляются пользователю, и извлекая таким образом просмотренные страницы. Кроме того, наблюдая за заголовками HTTP, переданными для извлечения и отправки изображения, злоумышленник может просматривать строку агента пользователя и все файлы cookie, связанные с доменом, с которого запрашивается изображение. Если содержимое предоставлено с домена, совпадающего с доменом основной веб-страницы, то сведения о сеансе потенциально могут быть раскрыты в результате обхода защиты, которую HTTPS предоставляет учетной записи пользователя.
К примерам пассивного содержимого относятся изображения и загрузки аудио- и видеозаписей.
Смешанное активное содержимое или содержимое сценария
Активное содержимое — это содержимое, которое имеет доступ ко всей модели DOM страницы HTTPS или ее частям и может влиять на них. Этот тип смешанного содержимого может изменять поведение страницы HTTPS и потенциально способствовать похищению конфиденциальных данных пользователя. Помимо рисков, уже описанных выше для смешанного пассивного содержимого, смешанное активное содержимое также подвергается воздействию ряда потенциальных направлений атак.
Пример. Злоумышленник может перехватить запросы на активное содержимое HTTP. После чего он может перезаписать ответ, включив в него вредоносный код JavaScript. Вредоносный сценарий может похитить учетные данные пользователя, получить его конфиденциальные данные или совершить попытку установить вредоносную программу в системе пользователя (например, путем использования уязвимых подключаемых модулей, установленных пользователем).
К примерам активного содержимого относятся JavaScript, каскадные таблицы стилей (CSS), объекты, запросы XHR, элементы IFrame и шрифты.
Устранение необходимости в элементах управления браузера
Все содержимое должно предоставляться через HTTPS — так пользователям удобнее работать и не нужно настраивать браузер самостоятельно.
Управление смешанным содержимым с помощью браузера
Если вы посмотрите примеры смешанного содержимого на веб-сайте Mozilla, то увидите, как оно влияет на просмотр веб-страниц, и поймете, как настройки браузера меняют их отображение.
Обратите внимание, что концепции блокирования смешанного содержимого схожи для всех браузеров и что основные различия между браузерами с поддержкой блокирования смешанного содержимого заключаются в управлении доступом к информации и уровнем сведений.
Безопасные веб-страницы, предоставляемые через HTTPS, могут включать небезопасные элементы, которые могут привести к атакам на вашу информацию. Страница, которая содержит как безопасные, так и небезопасные элементы, называется смешанным содержимым.
Чтобы защитить вас от рисков, связанных со смешанным содержимым, Mozilla Firefox блокирует отображение небезопасного содержимого или защищает страницы другим образом. Если вы не боитесь перейти на страницу с небезопасными элементами, можно просмотреть это содержимое, выполнив несколько шагов. В этой статье описаны способы управления доступом к смешанному содержимому в Mozilla Firefox 23 и более поздних версий.
Управление настройками блокировки содержимого
Если в Firefox открыть страницу со смешанным содержимым, в адресной строке отобразится значок щита. Это значит, что некоторое содержимое заблокировано. Выберите значок, чтобы временно отключить эту функцию безопасности и просмотреть небезопасное содержимое.
Выберите Пока отключить защиту, чтобы просмотреть это содержимое. Страница перезагрузится, а в адресной строке отобразятся два значка: щит, перечеркнутый красной линией, и желтый треугольник с восклицательным знаком. Эти значки напоминают вам, что некоторое содержимое на странице ставит под угрозу вашу информацию.
Firefox: блокировка смешанного содержимого
Функция блокировки смешанного содержимого используется в Mozilla Firefox для защиты вашей информации, но при этом вы можете выбрать, просматривать ли смешанное активное содержимое. Содержимое этого типа может повлиять на поведение всей страницы и привести к потенциальной краже конфиденциальных данных пользователя. Однако смешанное пассивное содержимое неспособно изменить поведение всей страницы, а повлияет только на фрагмент содержимого в формате HTTP (незащищенного).
Смешанное пассивное содержимое часто встречается в Интернете и включает элементы веб-страниц, такие как изображения, аудио и видео. Firefox не поддерживает автоматическую блокировку содержимого этого типа, так как это приведет к повреждению многих веб-страниц и ухудшению впечатлений от использования. Однако существует возможность блокировать смешанное пассивное содержимое, внеся изменения в конфигурацию обозревателя.
Подробнее
Дополнительные сведения о смешанном содержимом см. в приведенных ниже статьях на веб-сайте Mozilla.
- Как небезопасный контент может повлиять на мою безопасность? Служба поддержки Mozilla.
- В Firefox 23 включена блокировка смешанного содержимого! Блог Танви, служба обеспечения безопасности Mozilla.