Kada sajtu pristupamo preko HTTPS-a (https://moj-vebsajt.com), konekcija sa serverom je šifrovana SSL-om (SSL sertifikatom). Na taj način je prenos podataka, odnosno komunikacija između korisnika i servera, šifrovana i zaštićena od praćenja i presretanja od strane trećih lica.
Međutim, kada sajt ima interne ili eksterne resurse, koji se učitavaju preko nešifrovane konekcije (HTTP-a), većina veb-pregledača prikazuje poruku upozorenja i mogu čak blokirati ovakve resurse.
Novije verzije veb-pregledača kao što su Mozilla Firefox, Google Chrome i Opera automatski blokiraju aktivni nebezbedni sadržaj, npr. .js skripte, XMLHttpRequest objekat, itd. Ostali nesigurni resursi se, međutim, mogu učitati, na primer .jpg, .png, itd.
Kada se učitava preko HTTPS-a, razmenjeni podaci se ne mogu presresti ili izmeniti za razliku od HTTP-a. Dok veb-pregledač učitava elemente veb-stranice posredstvom bezbedne konekcije istovremeno se konektuje na server posredstvom HTTP-a kako bi učitao miksovani sadržaj. Ovakvi nešifrovani podaci se mogu presresti i zloupotrebiti od strane trećih lica.
Poruka o blokiranom sadržaju prikazana u nekim veb-pregledačima
Mozilla Firefox
Kada pristupate veb-sajtu koji sadrži nebezbedne elemente, pojaviće se trougao sa znakom uzvika u adresnom baru (adresnoj traci) Mozilla Firefox-a.
Ukoliko kliknete mišem na ikonicu “štita” omogućićete učitavanje stranice uprkos upozorenju.
Google Chrome
Kada Google Chrome blokira sadržaj veb-sajta, ikonica “štita” se pojavljuje na kraju adresnog bara.
Takođe se pojavljuje žuti trougao na ikonici katanca koja označava bezbednu konekciju.
Opera
Kada pristupate veb-sajtu koristeći Operu posredstvom šifrovane konekcije https:// ali se učitava i nebezbedan sadržaj, videćete poruku “Content blocked”.
Ukoliko želite da učitate celokupan nebezbedan sadržaj postoji i opcija Unblock, ali je ne preporučujemo.
Koji resurs veb-sajta se ne učitava preko HTTPS-a?
Možete otkriti elemente sa veb-sajta koji se učitavaju preko HTTP-a na nekoliko načina:
1. Proverite izvorni (source) kod stranice i potražite URL adrese koje počinju s http://.
Resursi mogu biti dodani u izvorni kod veb-sajta sa punom URL adresom, na primer http://moj-vebsajt.com/slika.png.
Da vidite izvorni kod, učitajte veb-sajt preko šifrovane konekcije (https://moj-vebsajt.com) i istovremeno pritisnite Ctrl + U. Ova prečica radi na većini veb-pregledača. Ako se ništa ne otvori, potražite “View Page Source” opciju, ili sličnu, u svom veb-pregledaču.
Nakon što se izvorni kod prikaže, možete potražiti (Ctrl + F) URL adrese koje počinju sa http://.
2. Koristite veb-alat da skenirate veb-sajt.
Ovaj alat proverava resurse koji se učitavaju na veb-sajtu i pravi listu svih nebezbednih elemenata: https://www.whynopadlock.com
3. Koristite web developer alat u svom veb-pregledaču.
Različiti veb-pregledači nude razne pomoćne alate za proveru elemenata stranice.
Mozilla Firefox (Web Console)
Mozilla Firefox Vam omogućava da koristite ugrađeni Web Console alat.
Učitajte svoj veb-sajt preko https:// i koristite Ctrl + Shift + K prečicu. Osvežite stranicu (Ctrl + F5).
Obratite posebnu pažnju na sledeći tekst koji će biti prikazan u Konzoli (Console): “Blokirano prilikom učitavanja miksovanog aktivnog sadržaja…” i ” Učitan je miksovan (nebezbedan) sadržaj za prikaz na bezbednoj stranici…”.
Ukoliko Vaša verzija Firefox-a ne podržava ovu funkcionalnost, možete instalirati dodatak (addon) kao što je Firebug.
Google Chrome (Console)
U Google Chrome možete koristiti ugrađeni Console alat. Da vidite učitane i blokirane resurse koristitite Ctrl + Shift + C prečicu nakon što otvorite veb-stranicu. Onda otvorite Security karticu (tab) i pogledajte u Console porukama, pri dnu.
Drugi način da pokrenete ovaj alat je desnim klikom bilo gde na stranici i odabirom opcije Inspect element iz menija. Osvežite stranicu (Ctrl + F5).
Na dnu vašeg ekrana (ili sa desne strane) prikazaće se prozor. Idite tamo i kliknite na indikator poruka i grešaka (!).
Obratite posebnu pažnju na “Mixed Content” redove teksta koji će se pojaviti u konzoli: “Stranica na … je učitana preko HTTPS-a, ali je zahtevala nebezbedne resurse …” “Ovaj zahtev je blokiran; sadržaj mora biti isporučen preko HTTPS-a.” i “Miksovani sadržaj: Stranica na … je učitana preko HTTPS-a, ali je zahtevala nebezbednu sliku … Ovaj sadržaj bi takođe trebalo da bude isporučen preko HTTPS-a”.
Opera (Console)
Console alatki u Operi se može pristupiti na isti način kao i u Google Chrome.
Da biste videli učitan i blokiran sadržaj koristite prečicu Ctrl+ Shift+ C nakon što otvorite stranicu. Onda otvorite Security karticu (tab) i pogledajte u Console porukama, pri dnu.
Drugi način da pokrenete ovaj alat je desnim klikom bilo gde na stranici i odabirom opcije Inspect element iz menija. Osvežite stranicu (Ctrl + F5).
Obratite posebnu pažnju na sledeće linije teksta: “[blokirana] stranica na…” i “Stranica na … je učitana preko HTTPS-a, ali prikazuje nebezbedan sadržaj sa … : ovaj sadržaj takođe treba da bude učitan preko HTTPS-a”.
Kako nebezbedni resursi mogu biti učitani preko HTTPS-a?
Ukoliko, tokom provere, otkrijete resurs koji se učitava preko HTTP-a, možete promeniti njegovu URL adresu u izvornom kodu veb-sajta. Ukoliko je resurs lociran na istom hosting nalogu, pod istim domenom, možete postaviti relativnu pitanju do njega:
URL adresa takođe može biti postavljena i ovako:
Ako se resurs nalazi na drugom serveru, tako da se smatra eksternim, možete postaviti njegov URL koristeći https://
ILI
Imajte u vidu da ukoliko udaljeni veb-sajt ne podržava šifrovanu konekciju, resurs neće biti učitan preko https-a. U tom slučaju možete preuzeti i otpremiti sadržaj na svoj hosting nalog. Onda ga pozovite u izvornom kodu koristeći relativnu putanju kao “/wp-content/uploads/script.js”.
Ukoliko je resurs upotrebljen u .css fajlu veb-sajta, njegova adresa se može postaviti na sledeći način:
Sa CMS sistemima kao što su WordPress, Joomla!, itd., nebezbedan sadržaj se može javiti zbog toga što:
- postoji loše konfigurisan dodatak (plugin) ili sistemski fajlovi gde su URL adrese resursa sačuvane sa http://
- neke od tema (theme files) zahtevaju resurs preko http:// (header.php …)
- .css fajl teme zahteva resurs preko http:// (style.css …)
- post/stranica sadrži direktan link do slike ili nečega i njegova puna URL adresa počinje sa http://…
- sam veb-sajt zahteva eksterni resursa koji je postavljen sa http://.