Esistono due tipi di contenuti misti: uno è peggio dell'altro, ma nessuno dei due è buono. Gli avvisi di contenuto misto indicano che qualcosa non va in una pagina web che stai visitando.
Cos'è il contenuto misto?
Tutto ciò si riduce alla differenza tra HTTP e HTTPS. HTTP è il tipo di connessione più utilizzato: quando si visita un sito Web utilizzando il protocollo HTTP, la connessione al sito Web non è protetta. Chiunque orecchi il traffico può vedere la pagina che stai visualizzando e tutti i dati che stai inviando avanti e indietro.
Ecco perché abbiamo HTTPS, che è letteralmente "HTTP Secure". HTTPS crea una connessione sicura tra te e il server web. La connessione è crittografata e autenticata, quindi nessuno può curiosare nel tuo traffico e hai la certezza di essere connesso al sito web corretto. Questo è estremamente importante per proteggere le password degli account e i dati di pagamento online, assicurando che nessuno possa intercettarli.
Gli avvisi di contenuto misto indicano un problema con una pagina Web a cui accedi tramite HTTPS. La connessione HTTPS deve essere protetta, ma il codice sorgente della pagina Web sta richiamando altre risorse con il protocollo HTTP non sicuro, non con HTTPS. La barra degli indirizzi del browser web dirà che sei connesso con HTTPS, ma la pagina sta caricando anche le risorse con il protocollo HTTP non sicuro in background. Per assicurarti di sapere che la pagina web che stai utilizzando non è completamente sicura, i browser visualizzano un avviso che dice che la pagina ha sia contenuti HTTPS che HTTP - contenuti misti, in altre parole.
Perché questo è pericoloso
Ecco perché questo è effettivamente pericoloso. Diciamo che sei su una pagina di pagamento e stai per inserire il numero della tua carta di credito. La pagina di pagamento indica che si tratta di una connessione HTTPS crittografata, ma viene visualizzato un avviso di contenuto misto. Questo dovrebbe alzare una bandiera rossa. È possibile che i dettagli di pagamento immessi possano essere catturati da contenuti non sicuri e inviati tramite una connessione non protetta, rimuovendo il vantaggio della sicurezza HTTPS: qualcuno potrebbe intercettare e visualizzare i tuoi dati sensibili.
Poiché HTTP non autentica il server Web nello stesso modo di HTTPS, è anche possibile che un sito HTTPS protetto che inserisce uno script da un sito HTTP possa essere indotto a trascinare lo script di un utente malintenzionato e ad eseguirlo sul sito altrimenti sicuro. Quando viene utilizzato HTTPS, hai più garanzie che il contenuto non è stato manomesso e legittimo.
In entrambi i casi, questo elimina il vantaggio di avere una connessione HTTPS sicura. È possibile che un sito Web possa avere un avviso di contenuto non protetto e proteggere ancora i tuoi dati personali in modo corretto, ma non lo sappiamo per certo e non dovremmo correre il rischio: ecco perché i browser ti avvisano quando ti imbatti in un sito web che non è codificato correttamente.
Contenuto attivo misto vs. Contenuto passivo misto
Ci sono in realtà due tipi di contenuti misti. Il più pericoloso è "mixed active content" o "mixed scripting". Ciò si verifica quando un sito HTTPS carica un file di script su HTTP. Il file di script può eseguire qualsiasi codice sulla pagina che desidera, quindi il caricamento di uno script su una connessione non sicura rovina completamente la sicurezza della pagina corrente. I browser Web generalmente bloccano completamente questo tipo di contenuto misto.
Il secondo tipo è "mixed passive content" o "mixed display content". Ciò si verifica quando un sito HTTPS carica qualcosa come un file immagine o audio su una connessione HTTP. Questo tipo di contenuto non può rovinare la sicurezza della pagina allo stesso modo, quindi i browser Web non reagiscono come severamente. Tuttavia, è ancora una cattiva pratica di sicurezza che potrebbe causare problemi. Ad esempio, un utente malintenzionato potrebbe sostituire l'immagine con un'immagine fuorviante, manomettendo una pagina teoricamente sicura. Una richiesta di caricamento di immagini contiene anche intestazioni contenenti informazioni sui cookie associate a un sito Web, pertanto anche il caricamento di un'immagine su una connessione non sicura può causare problemi. I browser Web spesso visualizzano un'icona o un messaggio di avviso anziché bloccare completamente il contenuto, poiché questo tipo di contenuto misto è ancora così comune sui siti Web reali. In Chrome, vedrai un lucchetto con un triangolo giallo.
Cosa fare quando si visualizza un avviso di contenuto misto
I browser Web generalmente bloccano i tipi più pericolosi di contenuti misti per impostazione predefinita. Non sbloccarlo. Se non è possibile accedere a un sito Web o inserire i dettagli di pagamento online senza caricare il contenuto misto, è necessario lasciare il sito Web e non inserire le informazioni in un sito Web non protetto. Lascia che i proprietari del sito web sappiano che il loro sito non è sicuro e rotto.
Se viene visualizzato un avviso che indica che una pagina contiene altre risorse che potrebbero non essere protette, è probabilmente sicuro effettuare il login in ogni caso. Non è un buon segno se un sito web importante quanto la tua banca ha questo problema, ma questo tipo di avviso di contenuto misto è molto comune.
D'altra parte, gli avvisi di contenuto misto non sono davvero un grosso problema se si accede a un sito Web che non ha bisogno di HTTPS.L'avviso di tutti i contenuti misti significa che una pagina Web garantisce il beneficio della sicurezza HTTPS, in altre parole, nel peggiore dei casi, la pagina Web che stai visitando è meno sicura di un sito HTTP standard. Quindi, se tu stavi accedendo a un sito web come Wikipedia solo per leggere alcuni articoli e hai visto un avviso di contenuti misti, non dovresti aver bisogno di preoccupartene troppo. Nel peggiore dei casi, è altrettanto insicuro come se si stesse leggendo articoli su Wikipedia tramite una connessione HTTP standard, cosa che non avresti comunque alcun problema.
Perché alcune pagine Web hanno questo problema
Vedrai questo errore solo se c'è un problema nel modo in cui una pagina web è codificata. Se viene pubblicata una pagina Web su HTTPS, dovrebbe utilizzare anche il protocollo HTTPS per estrarre i file di script e altri contenuti necessari. Gli sviluppatori Web dovrebbero testare le loro pagine Web, assicurando che non attivino avvisi di tipo spaventoso nei browser degli utenti. Se sei un utente, non puoi davvero fare nulla al riguardo - è compito del proprietario del sito web correggerlo.
Se sei uno sviluppatore web, tutto ciò che devi fare è assicurarti che le tue pagine HTTPS caricino il contenuto da URL HTTPS, non URL HTTP. Un modo per farlo è rendere l'intero sito Web solo su SSL, quindi tutto utilizza solo HTTPS.
Se desideri creare una pagina che può essere pubblicata su HTTP o HTTPS e fa la cosa giusta automaticamente, puoi utilizzare "URL relativi al protocollo" affinché il browser dell'utente scelga automaticamente HTTP o HTTPS, a seconda del protocollo che l'utente è connesso con. Ad esempio, dovrebbe apparire un URL relativo al protocollo per caricare un'immagine
I browser Web bloccano automaticamente il contenuto misto o la tua protezione, ed è per questo. Se è necessario utilizzare un sito Web sicuro che non funziona correttamente a meno che non si abiliti il contenuto misto, il proprietario del sito Web dovrebbe correggerlo.
