O que é exatamente um aviso de conteúdo misto?

aviso de conteúdo misto de navegador da web

“Este site tem conteúdo inseguro;” “somente conteúdo seguro é mostrado;” “O Firefox bloqueou conteúdo que não é seguro.” Ocasionalmente, você encontrará esses avisos ao navegar na web, mas o que exatamente eles significam?

Existem dois tipos de conteúdo misto – um é pior do que o outro, mas nenhum é bom. Os avisos de conteúdo misto indicam que algo está errado com uma página da web que você está visitando.

O que é conteúdo misto?

Tudo isso se resume à diferença entre HTTP e HTTPS . HTTP é o tipo de conexão mais comumente usado – quando você visita um site usando o protocolo HTTP, sua conexão com o site não é protegida. Qualquer pessoa que esteja bisbilhotando o tráfego pode ver a página que você está visualizando e todos os dados que está enviando de um lado para outro.

É por isso que temos HTTPS, que é literalmente “HTTP Seguro”. HTTPS cria uma conexão segura entre você e o servidor web. A conexão é criptografada e autenticada, então ninguém pode espionar seu tráfego e você tem alguma garantia de que está conectado ao site correto. Isso é extremamente importante para proteger as senhas das contas e dados de pagamento online, garantindo que ninguém possa espioná-los.

Avisos de conteúdo misto indicam um problema com uma página da web que você está acessando por HTTPS. A conexão HTTPS deve ser segura, mas o código-fonte da página da web está puxando outros recursos com o protocolo HTTP inseguro, não HTTPS. A barra de endereço do seu navegador dirá que você está conectado com HTTPS, mas a página também está carregando recursos com o protocolo HTTP inseguro em segundo plano. Para garantir que você saiba que a página da web que está usando não é totalmente segura, os navegadores exibem um aviso dizendo que a página tem conteúdo HTTPS e HTTP – conteúdo misto, em outras palavras.

chrome-this-page-includes-script-from-unauthenticates-sources

Por que isso é perigoso

Veja por que isso é realmente perigoso. Digamos que você esteja em uma página de pagamento e prestes a inserir o número do seu cartão de crédito. A página de pagamento indica que é uma conexão HTTPS criptografada , mas você vê um aviso de conteúdo misto. Isso deve levantar uma bandeira vermelha. É possível que os detalhes de pagamento inseridos possam ser capturados pelo conteúdo não seguro e enviados por uma conexão não segura, removendo o benefício da segurança HTTPS – alguém pode espionar e ver seus dados confidenciais.

Como o HTTP não autentica o servidor da web da mesma forma que o HTTPS, também é possível que um site HTTPS seguro puxando um script de um site HTTP seja enganado para puxar o script de um invasor e executá-lo no site seguro. Quando HTTPS é usado, você tem mais garantias de que o conteúdo não foi adulterado e é legítimo.

Em ambos os casos, isso elimina o benefício de ter uma conexão HTTPS segura. É possível que um site tenha um aviso de conteúdo não seguro e ainda proteja seus dados pessoais de maneira adequada, mas realmente não temos certeza e não devemos correr o risco – é por isso que os navegadores da web avisam quando você encontra um site que não é codificado corretamente.

chrome-mixed-content-https-problem

Conteúdo ativo misto x conteúdo passivo misto

Na verdade, existem dois tipos de conteúdo misto. O mais perigoso é “conteúdo ativo misto” ou “script misto”. Isso ocorre quando um site HTTPS carrega um arquivo de script sobre HTTP. O arquivo de script pode executar qualquer código na página que desejar, portanto, carregar um script em uma conexão insegura arruína completamente a segurança da página atual. Os navegadores da Web geralmente bloqueiam completamente esse tipo de conteúdo misto.

O segundo tipo é “conteúdo passivo misto” ou “conteúdo de exibição misto”. Isso ocorre quando um site HTTPS carrega algo como um arquivo de imagem ou áudio em uma conexão HTTP. Esse tipo de conteúdo não pode arruinar a segurança da página da mesma forma, portanto, os navegadores da web não reagem com tanta rigidez. No entanto, ainda é uma prática de segurança ruim que pode causar problemas. Por exemplo, um invasor pode substituir a imagem por uma imagem enganosa, adulterando uma página teoricamente segura. Uma solicitação de carregamento de imagem também contém cabeçalhos que contêm informações de cookies associadas a um site, portanto, até mesmo carregar uma imagem em uma conexão insegura pode causar problemas. Os navegadores da Web geralmente exibem um ícone ou mensagem de aviso em vez de bloquear o conteúdo completamente, pois esse tipo de conteúdo misto ainda é muito comum em sites reais. No Chrome,

chrome-padlock-yellow-triangle-mixed-content-warning

O que fazer quando você vir um aviso de conteúdo misto

Os navegadores da Web geralmente bloqueiam os tipos mais perigosos de conteúdo misto por padrão. Não o desbloqueie. Se você não conseguir fazer login em um site ou inserir detalhes de pagamento online sem carregar o conteúdo misto, você deve apenas sair do site e não inserir suas informações em um site não seguro. Informe aos proprietários de sites que seu site não é seguro e não é seguro.

Se você vir um aviso de que uma página contém outros recursos que podem não ser seguros, provavelmente é seguro fazer o login de qualquer maneira. Não é um bom sinal se um site tão importante como o seu banco tiver esse problema, mas esse tipo de aviso de conteúdo misto é muito comum.

Por outro lado, os avisos de conteúdo misto não são realmente um grande problema se você estiver acessando um site que não precisa de HTTPS. Todo um aviso de conteúdo misto significa que uma página da web com garantia de se beneficiar da segurança HTTPS – em outras palavras, no pior cenário, a página da web que você está visitando é tão insegura quanto um site HTTP padrão. Portanto, se você acessou um site como a Wikipedia apenas para ler alguns artigos e viu um aviso de conteúdo misto, não deve se preocupar muito com isso. Na pior das hipóteses, é tão inseguro como se você estivesse lendo artigos na Wikipedia em uma conexão HTTP padrão, o que você não teria problemas em fazer de qualquer maneira.

firefox-has-locked-content-that-not-secure

Por que algumas páginas da web apresentam este problema

Você só verá esse erro se houver um problema com a forma como uma página da web é codificada. Se uma página da web for servida por HTTPS, ela também deve usar o protocolo HTTPS para obter arquivos de script e outros conteúdos necessários. Os desenvolvedores da Web devem testar suas páginas da Web, garantindo que não disparem avisos de aparência assustadora nos navegadores dos usuários. Se você é um usuário, não pode fazer nada a respeito – cabe ao proprietário do site consertar.

Se você for um desenvolvedor da Web, tudo o que você precisa fazer é garantir que suas páginas HTTPS carreguem conteúdo de URLs HTTPS, não URLs HTTP. Uma maneira de fazer isso é fazer com que todo o seu site funcione apenas em SSL, para que tudo use apenas HTTPS.

Se você deseja fazer uma página que pode ser servida por HTTP ou HTTPS e faz a coisa certa automaticamente, você pode usar “URLs relativos ao protocolo” para que o navegador do usuário escolha automaticamente HTTP ou HTTPS conforme apropriado, dependendo de qual protocolo o usuário está conectado com. Por exemplo, um URL relativo de protocolo para carregar uma imagem seria semelhante a <img src = ”// example.com/image.png”> . O navegador adicionará automaticamente http: ou https: ao início do URL, o que for apropriado. Obviamente, você precisará garantir que o site ao qual está se vinculando oferece o recurso por HTTP e HTTPS.

apenas-seguro-conteúdo-é-exibido-internet-explorer


Os navegadores da Web estão bloqueando automaticamente o conteúdo misto ou sua proteção, e é por isso. Se você precisar usar um site seguro que não funciona corretamente, a menos que habilite o conteúdo misto, o proprietário do site deve corrigi-lo.