1. Početna
  2. SSL sertifikati
  3. HTTPS – Deo sadržaja veb-sajta se učitava posredstvom nebezbedne (HTTP) konekcije

HTTPS – Deo sadržaja veb-sajta se učitava posredstvom nebezbedne (HTTP) konekcije

Kada sajtu pristupamo preko HTTPS-a (https://moj-vebsajt.com), konekcija sa serverom je šifrovana SSL-om (SSL sertifikatom). Na taj način je prenos podataka, odnosno komunikacija između korisnika i servera, šifrovana i zaštićena od praćenja i presretanja od strane trećih lica.

Međutim, kada sajt ima interne ili eksterne resurse, koji se učitavaju preko nešifrovane konekcije (HTTP-a), većina veb-pregledača prikazuje poruku upozorenja i mogu čak blokirati ovakve resurse.

Kada veb-sajt sa šifrovanom konekcijom ima resurse koji se učitavaju preko HTTP-a, ovi resursi se definišu kao miksovani sadržaj. Na primer: slika http://moj-vebsajt.com/slika.png se definiše kao miksovani sadržaj kada je učitana preko https://moj-vebsajt.com.

Nebezbedni miksovani sadržaj je podeljen u dve kategorije:
Pasivni miksovani sadržaj:
<img>,
<audio>,
<video>,
i drugi.
Aktivni miksovani sadržaj:
<script>,
<link>,
"XMLHttpRequest",
<iframe>,
CSS (kada se koristi URL atribut),
<object> (data atribut),
itd.

Novije verzije veb-pregledača kao što su Mozilla Firefox, Google Chrome i Opera automatski blokiraju aktivni nebezbedni sadržaj, npr. .js skripte, XMLHttpRequest objekat, itd. Ostali nesigurni resursi se, međutim, mogu učitati, na primer .jpg, .png, itd.

Kada se učitava preko HTTPS-a, razmenjeni podaci se ne mogu presresti ili izmeniti za razliku od HTTP-a. Dok veb-pregledač učitava elemente veb-stranice posredstvom bezbedne konekcije istovremeno se konektuje na server posredstvom HTTP-a kako bi učitao miksovani sadržaj. Ovakvi nešifrovani podaci se mogu presresti i zloupotrebiti od strane trećih lica.


Poruka o blokiranom sadržaju prikazana u nekim veb-pregledačima link-to-this-section

Blokiran nebezbedan resurs učitan na sajtu sa bezbednom konekcijom u Mozilla

Mozilla Firefox

Kada pristupate veb-sajtu koji sadrži nebezbedne elemente, pojaviće se trougao sa znakom uzvika u adresnom baru (adresnoj traci) Mozilla Firefox-a.

Ukoliko kliknete mišem na ikonicu "štita" omogućićete učitavanje stranice uprkos upozorenju.

Blokiran nebezbedan resurs učitan na sajtu sa bezbednom konekcijom u Chrome

Google Chrome

Kada Google Chrome blokira sadržaj veb-sajta, ikonica "štita" se pojavljuje na kraju adresnog bara.

Takođe se pojavljuje žuti trougao na ikonici katanca koja označava bezbednu konekciju.

Blokiran nebezbedan resurs učitan na sajtu sa bezbednom konekcijom u Chrome

Opera

Kada pristupate veb-sajtu koristeći Operu posredstvom šifrovane konekcije https:// ali se učitava i nebezbedan sadržaj, videćete poruku "Content blocked".

Ukoliko želite da učitate celokupan nebezbedan sadržaj postoji i opcija Unblock, ali je ne preporučujemo.


Koji resurs veb-sajta se ne učitava preko HTTPS-a? link-to-this-section

Možete otkriti elemente sa veb-sajta koji se učitavaju preko HTTP-a na nekoliko načina:

1. Proverite izvorni (source) kod stranice i potražite URL adrese koje počinju s http://.

Resursi mogu biti dodani u izvorni kod veb-sajta sa punom URL adresom, na primer http://moj-vebsajt.com/slika.png.

Da vidite izvorni kod, učitajte veb-sajt preko šifrovane konekcije (https://moj-vebsajt.com) i istovremeno pritisnite Ctrl + U. Ova prečica radi na većini veb-pregledača. Ako se ništa ne otvori, potražite "View Page Source" opciju, ili sličnu, u svom veb-pregledaču.

Nakon što se izvorni kod prikaže, možete potražiti (Ctrl + F) URL adrese koje počinju sa http://.

2. Koristite veb-alat da skenirate veb-sajt.

Ovaj alat proverava resurse koji se učitavaju na veb-sajtu i pravi listu svih nebezbednih elemenata: https://www.whynopadlock.com

3. Koristite web developer alat u svom veb-pregledaču.

Različiti veb-pregledači nude razne pomoćne alate za proveru elemenata stranice.

Mozilla Firefox (Web Console)

Mozilla Firefox Vam omogućava da koristite ugrađeni Web Console alat.

Vidi resurse veb-sajta

Učitajte svoj veb-sajt preko https:// i koristite Ctrl + Shift + K prečicu. Osvežite stranicu (Ctrl + F5).

Obratite posebnu pažnju na sledeći tekst koji će biti prikazan u Konzoli (Console): "Blokirano prilikom učitavanja miksovanog aktivnog sadržaja…" i " Učitan je miksovan (nebezbedan) sadržaj za prikaz na bezbednoj stranici…".

Ukoliko Vaša verzija Firefox-a ne podržava ovu funkcionalnost, možete instalirati dodatak (addon) kao što je Firebug.

Google Chrome (Console)

U Google Chrome možete koristiti ugrađeni Console alat. Da vidite učitane i blokirane resurse koristitite Ctrl + Shift + C prečicu nakon što otvorite veb-stranicu. Onda otvorite Security karticu (tab) i pogledajte u Console porukama, pri dnu.

Vidi resurse veb-sajta

Drugi način da pokrenete ovaj alat je desnim klikom bilo gde na stranici i odabirom opcije Inspect element iz menija. Osvežite stranicu (Ctrl + F5).

Na dnu vašeg ekrana (ili sa desne strane) prikazaće se prozor. Idite tamo i kliknite na indikator poruka i grešaka (!).

Obratite posebnu pažnju na "Mixed Content" redove teksta koji će se pojaviti u konzoli: "Stranica na … je učitana preko HTTPS-a, ali je zahtevala nebezbedne resurse …" "Ovaj zahtev je blokiran; sadržaj mora biti isporučen preko HTTPS-a." i "Miksovani sadržaj: Stranica na … je učitana preko HTTPS-a, ali je zahtevala nebezbednu sliku … Ovaj sadržaj bi takođe trebalo da bude isporučen preko HTTPS-a".

Opera (Console)

Vidi resurse veb-sajta

Console alatki u Operi se može pristupiti na isti način kao i u Google Chrome.

Da biste videli učitan i blokiran sadržaj koristite prečicu Ctrl+ Shift+ C nakon što otvorite stranicu. Onda otvorite Security karticu (tab) i pogledajte u Console porukama, pri dnu.

Drugi način da pokrenete ovaj alat je desnim klikom bilo gde na stranici i odabirom opcije Inspect element iz menija. Osvežite stranicu (Ctrl + F5).

Obratite posebnu pažnju na sledeće linije teksta: "[blokirana] stranica na…" i "Stranica na … je učitana preko HTTPS-a, ali prikazuje nebezbedan sadržaj sa … : ovaj sadržaj takođe treba da bude učitan preko HTTPS-a".


Kako nebezbedni resursi mogu biti učitani preko HTTPS-a? link-to-this-section

Napomena: Adrese nebezbednih resursa mogu biti postavljene u izvornom kodu sajta ili smeštene u njegovoj bazi podataka.

Ukoliko, tokom provere, otkrijete resurs koji se učitava preko HTTP-a, možete promeniti njegovu URL adresu u izvornom kodu veb-sajta. Ukoliko je resurs lociran na istom hosting nalogu, pod istim domenom, možete postaviti relativnu pitanju do njega:

src="/wp-content/uploads/slika.jpg"

URL adresa takođe može biti postavljena i ovako:

src="//moj-vebsajt.com/wp-content/uploads/slika.jpg"

Ako se resurs nalazi na drugom serveru, tako da se smatra eksternim, možete postaviti njegov URL koristeći https://

src="https://drugi-sajt.net/script.js"

ILI

src="//drugi-sajt.net/resource/slika.jpg"

Imajte u vidu da ukoliko udaljeni veb-sajt ne podržava šifrovanu konekciju, resurs neće biti učitan preko https-a. U tom slučaju možete preuzeti i otpremiti sadržaj na svoj hosting nalog. Onda ga pozovite u izvornom kodu koristeći relativnu putanju kao "/wp-content/uploads/script.js".

Ukoliko je resurs upotrebljen u .css fajlu veb-sajta, njegova adresa se može postaviti na sledeći način:

background: url("//moj-vebsajt.com/wp-content/uploads/slika.jpg" ...);

Sa CMS sistemima kao što su WordPress, Joomla!, itd., nebezbedan sadržaj se može javiti zbog toga što:

  • postoji loše konfigurisan dodatak (plugin) ili sistemski fajlovi gde su URL adrese resursa sačuvane sa http://
  • neke od tema (theme files) zahtevaju resurs preko http:// (header.php …)
  • .css fajl teme zahteva resurs preko http:// (style.css …)
  • post/stranica sadrži direktan link do slike ili nečega i njegova puna URL adresa počinje sa http://…
  • sam veb-sajt zahteva eksterni resursa koji je postavljen sa http://.
Obnovljen: 21. јуна 2019.

Da li Vam je ovaj članak bio koristan?

Slični članci