يحدث المحتوى المختلَط عند تحميل رمز HTML الأولي عبر اتصال HTTPS آمن، ولكن يتم تحميل الموارد الأخرى (مثل الصور والفيديوهات وأوراق الأنماط والنصوص البرمجية) عبر اتصال HTTP غير آمن. ويُطلق على ذلك اسم المحتوى المختلط لأنّه يتم تحميل محتوى HTTP وHTTPS لعرض الصفحة نفسها، وكان الطلب الأوّلي آمنًا عبر HTTPS.
إنّ طلب الموارد الفرعية باستخدام بروتوكول HTTP غير الآمن يؤدي إلى إضعاف أمان الصفحة بأكملها، لأن هذه الطلبات تكون عرضة للهجمات على المسار، حيث يتجسس المهاجم على الاتصال بالشبكة ويرى أو يعدّل الاتصال بين طرفين. باستخدام هذه الموارد، يمكن للمهاجمين تتبُّع المستخدمين واستبدال المحتوى على المواقع الإلكترونية. وفي حال وجود محتوى مختلط نشط، يمكنهم التحكُّم بشكل كامل في الصفحة وليس فقط على الموارد غير الآمنة.
على الرغم من أنّ العديد من المتصفحات تُبلِغ المستخدم بتحذيرات من المحتوى المختلَط، ولكن عندما يحدث ذلك، يكون الأوان قد فات: لأنّ الطلب قد تمّ تنفيذ الطلبات غير الآمنة وقد تعرّض أمان الصفحة للخطر.
ولهذا السبب تحظر المتصفحات بشكل متزايد المحتوى المختلط. إذا كان لديك محتوى مختلط على موقعك، فإن إصلاحه سيضمن استمرار تحميل المحتوى مع زيادة صرامة المتصفحات.
نوعا المحتوى المختلط
نوعا المحتوى المختلط هما: المحتوى النشط وغير النشط.
يشير المحتوى المختلَط السلبي إلى المحتوى الذي لا يتفاعل مع بقية الصفحة، وبالتالي يقتصر هجوم الوسيط على ما يمكنه فعله عند اعتراض هذا المحتوى أو تغييره. يتم تعريف المحتوى المختلَط السلبي على أنّه محتوى صور وفيديوهات وصوت.
يتفاعل المحتوى المختلَط النشط مع الصفحة ككل ويتيح للمهاجم اتخاذ أي إجراء تقريبًا في الصفحة. يشتمل المحتوى المختلَط النشط على النصوص البرمجية وأوراق الأنماط وإطارات iframe وغيرها من الرموز البرمجية التي يمكن للمتصفح تنزيلها وتنفيذها.
المحتوى المختلَط السلبي
يُنظر إلى المحتوى المختلط السلبي على أنّه أقل إشكالية، ولكنه لا يزال يشكّل تهديدًا للأمان على موقعك الإلكتروني ومستخدميه. على سبيل المثال، يمكن للمهاجم اعتراض طلبات HTTP للصور على موقعك وتبديل هذه الصور أو استبدالها، ويمكن للمهاجم تبديل صور زر الحفظ والحذف، مما يتسبب في حذف المستخدمين للمحتوى بدون قصد ذلك، واستبدال الرسوم البيانية للمنتجات بمحتوى بذيء أو إباحي، أو استبدال موقعك الإلكتروني، أو استبدال صور منتجك بإعلانات لموقع أو منتج مختلف.
حتى إذا لم يغير المهاجم محتوى موقعك، يستطيع المهاجم تتبع المستخدمين من خلال طلبات المحتوى المختلطة. ويمكن للمهاجم معرفة الصفحات التي يزورها المستخدم والمنتجات التي يشاهدها استنادًا إلى الصور أو الموارد الأخرى التي يحمِّلها المتصفح.
في حال توفُّر محتوى مختلط سلبي، ستشير معظم المتصفحات في شريط عنوان URL إلى أنّ الصفحة غير آمنة، حتى إذا تم تحميل الصفحة نفسها عبر HTTPS. يمكنك ملاحظة هذا السلوك من خلال هذا العرض التوضيحي الذي يتضمّن أمثلة على المحتوى المختلط السلبي.
حتى مؤخرًا، تم تحميل المحتوى المختلط السلبي في جميع المتصفحات، وحظره كان سيتسبب في تعطيل العديد من المواقع الإلكترونية. وقد بدأنا الآن في التغيير، لذا من الضروري تعديل أي حالات تتضمّن محتوى مختلطًا على موقعك الإلكتروني.
يطرح Chrome حاليًا عملية ترقية تلقائية للمحتوى المختلَط السلبي كلما أمكن ذلك. تعني الترقية التلقائية أنّه إذا كانت مادة العرض متاحة عبر HTTPS، ولكن تم ترميزها بشكلٍ ثابت HTTP، سيحمّل المتصفّح نسخة HTTPS. إذا لم يتم العثور على أي نسخة آمنة، لن يتم تحميل مادة العرض.
عند رصد محتوى مختلط أو إجراء ترقية تلقائية لمحتوى مختلط سلبي، يسجّل Chrome الرسائل التفصيلية إلى علامة التبويب المشاكل في "أدوات مطوري البرامج" لإرشادك حول كيفية حل المشكلة المحدّدة.
المحتوى المختلَط النشط
يشكّل المحتوى المختلَط النشط تهديدًا أكبر من المحتوى المختلط السلبي. يمكن للمهاجم اعتراض المحتوى النشط وإعادة كتابته، ما يتيح للمهاجم التحكم في صفحتك أو حتى في موقعك الإلكتروني بالكامل. وهذا يتيح للمهاجم تغيير أي شيء في الصفحة، بما في ذلك عرض محتوى مختلف تمامًا، أو سرقة كلمات مرور المستخدم أو غيرها من بيانات اعتماد تسجيل الدخول، أو سرقة ملفات تعريف الارتباط لجلسة المستخدم، أو إعادة توجيه المستخدم إلى موقع آخر تمامًا.
بسبب شدة هذا التهديد، تحظر معظم المتصفحات بالفعل هذا النوع من المحتوى بشكل تلقائي لحماية المستخدمين، لكن الوظائف تختلف باختلاف مورّدي المتصفحات والإصدارات.
يحتوي هذا العرض التوضيحي الآخر على أمثلة على المحتوى المختلَط النشط. حمِّل المثال عبر HTTP للاطّلاع على المحتوى المحظور عند تحميل المثال عبر HTTPS. سيتم أيضًا إدراج تفاصيل المحتوى المحظور في علامة التبويب المشاكل.
مواصفات المحتوى المختلط
تتّبع المتصفحات مواصفات المحتوى المختلَط التي تحدّد فئتَي المحتوى القابل للحظر والمحتوى القابل للحظر.
من المواصفات المحددة، يتأهّل المورد كمحتوى قابل للحظر اختياريًا "عندما تكون مخاطر السماح باستخدامه لمحتوى مختلط تفوق مخاطر تعطُّل أجزاء كبيرة من الويب"، هذه مجموعة فرعية من فئة المحتوى المختلط السلبي الموضّحة أعلاه.
يُعتبر كل المحتوى غير القابل للحظر اختياريًا قابلاً للحظر، ويجب حظره من خلال المتصفّح.
في السنوات الأخيرة، ارتفع استخدام بروتوكول HTTPS بشكل كبير وأصبح الإعداد التلقائي واضحًا على الويب. لذلك، أصبح من الأسهل الآن على المتصفحات حظر كل المحتوى المختلَط، بما في ذلك أنواع الموارد الفرعية المحدّدة في مواصفات المحتوى المختلَط على أنّها قابلة للحظر اختياريًا. لهذا السبب، نرى الآن أنّ Chrome يتّبع نهجًا أكثر صرامة تجاه هذه الموارد الفرعية.
المتصفحات القديمة
ومن المهم أن تتذكر أنه ليس كل زائر إلى موقعك الإلكتروني يستخدم أحدث المتصفحات. تتعامل الإصدارات المختلفة من مورّدي المتصفحات المختلفة مع المحتوى المختلط بشكل مختلف. في أسوأ الأحوال، لا تحظر المتصفحات والإصدارات القديمة أي محتوى مختلَط على الإطلاق، ما يُعتبر غير آمن للغاية بالنسبة إلى المستخدم.
عبر حل مشكلات المحتوى المختلط، تضمن عرض المحتوى في المتصفحات الجديدة. ويمكنك أيضًا المساعدة في حماية المستخدمين من المحتوى الخطير الذي لا يتم حظره في المتصفّحات القديمة.