Το διαδίκτυο είναι πλημμυρισμένο από ευαίσθητες πληροφορίες, τις οποίες θέλουν να αποκτήσουν πολλοί επίδοξοι εισβολείς. Εσύ, ως διαχειριστής, οφείλεις να πάρεις όλα τα απαραίτητα μέτρα για να προστατεύσεις το site σου από τις ενέργειες τους, και να διασφαλίσεις τα δεδομένα και τις πληροφορίες που μεταφέρονται μέσα από αυτό.
Ευτυχώς, υπάρχουν εργαλεία εκεί έξω που μπορούν να σε βοηθήσουν προς αυτή την κατεύθυνση. Ένα από αυτά, είναι και το SSL (Secure Sockets Layer), το οποίο χρησιμοποιείται στο HTTPS, το πιο σημαντικό πρωτόκολλο επικοινωνίας για την κρυπτογραφημένη μεταφορά δεδομένων μεταξύ δύο συνδεδεμένων υπολογιστών.
Η ιστορία του SSL ξεκινάει κάπου στις αρχές της δεκαετίας του ’90, με το SSL 1.0, που όμως δεν έγινε ποτέ διαθέσιμο στο ευρύ κοινό λόγω σοβαρών κενών ασφαλείας. Η πρώτη έκδοση που κυκλοφόρησε ήταν το SSL 2.0, το 1995, ενώ αργότερα εμφανίστηκε το SSL 3.0. Και οι δύο αυτές εκδόσεις, σήμερα είναι απαγορευμένες. To 1999, ήρθε το TLS 1.0, το οποίο ήταν ένα update του SSL 3.0. Δύο ακόμα εκδόσεις κυκλοφόρησαν μετά, το TLS 1.1. και το ΤLS 1.2. Τον Μάρτιο του 2018, μια καινούργια έκδοση, το TLS 1.3, έλαβε την έγκριση από το Internet Engineering Task Force.
SSL/TLS και μικτό περιεχόμενο
Η χρήση SSL/TLS έχει σημαντικά πλεονεκτήματα, αλλά μπορεί να σου δημιουργήσει μια μικρή σύγχυση αν δε γνωρίζεις τι είναι το “μικτό περιεχόμενο”. Γι’ αυτό και εμείς θα φροντίσουμε να σε ενημερώσουμε και στη συνέχεια να σου δώσουμε τις απαραίτητες οδηγίες ώστε να το διαχειριστείς.
Αρχικά, είναι χρήσιμο να ξέρεις ότι υπάρχουν τρεις διαφορετικοί τρόποι που φορτώνεται ένα site. Παρακάτω μπορείς να δεις τα σχετικά παραδείγματα για να τους κατανοήσεις σε βάθος.
1. Το πρώτο παράδειγμα είναι του δικού μας site, που χρησιμοποιεί και φορτώνει όλο το περιεχόμενο του με τη χρήση πρωτοκόλλου HTTPS. Αυτό είναι το καλύτερο σενάριο φόρτωσης μιας σελίδας. Οι επισκέπτες δεν έχουν λόγο να ανησυχούν όταν βρίσκονται σε τέτοιο περιβάλλον, καθώς όλα όσα βλέπουν και μεταφέρουν, είναι υπό μια ασφαλή σύνδεση και κρυπτογραφούνται.
2. H δεύτερη περίπτωση είναι όταν ένα site χρησιμοποιεί HTTPS, αλλά το περιεχόμενο του δεν είναι όλο φορτωμένο σε HTTPS. Όπως βλέπεις και στην εικόνα του παραδείγματος, η διεύθυνση έχει “HTTPS” αλλά αριστερά της υπάρχει ένα “i”. Όταν πατήσεις πάνω του, θα δεις ένα μήνυμα που αναφέρει ότι η σύνδεση δεν είναι απόλυτα ασφαλής. Αυτό συμβαίνει γιατί μια φόρμα του συγκεκριμένου site φορτώνει με τη χρήση HTTP, κάτι το οποίο την κάνει ευάλωτη σε επιθέσεις. Εδώ, λοιπόν, έχουμε το λεγόμενο “μικτό περιεχόμενο”.
3. Η τελευταία περίπτωση φόρτωσης μιας σελίδας είναι και η περισσότερο ανεπιθύμητη, καθώς δε χρησιμοποιείται καθόλου το πρωτόκολλο HTTPS. Μια τέτοια πρακτική, ειδικά όταν υιοθετείται από ηλεκτρονικά καταστήματα, είναι πραγματικά επικίνδυνη, καθώς οποιοδήποτε ευαίσθητο στοιχείο δοθεί από τον χρήστη, μπορεί να φτάσει σε χέρια τρίτων χωρίς να έχει κρυπτογραφηθεί.
Εντοπίζοντας το μικτό περιεχόμενο
Τώρα που είδες πώς επισημαίνεται στον browser ένα site το οποίο έχει μικτό περιεχόμενο, κάνε μια βόλτα σε ηλεκτρονικά καταστήματα που προτιμάς ή σε άλλες διευθύνσεις που πληκτρολογείς καθημερινά. Μόλις βρεις κάποιο site που χρησιμοποιεί μικτό περιεχόμενο, κάνε δεξί κλικ οπουδήποτε σε αυτό, και πάτα το “Inspect”. Μετά επίλεξε το “Console”, και θα μπορέσεις να δεις όλες τις επισημάνσεις μικτού περιεχομένου.
Το επόμενο βήμα είναι να αναγνωρίσεις τους δύο διαφορετικούς τύπους μικτού περιεχομένου: το ενεργό και το παθητικό. Όπως καταλαβαίνεις, το ενεργό είναι αυτό που έρχεται σε αλληλεπίδραση με άλλες πηγές, ενώ το παθητικό είναι αυτό που περιορίζεται στην αλληλεπίδραση με τον εαυτό του.
Το ενεργό μικτό περιεχόμενο, συμπεριλαμβάνει scripts, περιεχόμενο flash, style sheets, iframes κ.λπ. που αλληλεπιδρούν με άλλες πηγές. Όλα αυτά, συνήθως παίζουν πρωταγωνιστικό ρόλο σε μια σελίδα και έτσι όταν ένας εισβολέας καταφέρει να πάρει τον έλεγχο τους, μπορεί να κάνει τεράστιες αλλαγές και να αλλοιώσει τελείως το αρχικό περιεχόμενο (εικόνες, σημαντικές πληροφορίες, εμφάνιση κ.ο.κ.).
Το παθητικό μικτό περιεχόμενο, από την άλλη, είναι λιγότερο επικίνδυνο από το μικτό, ωστόσο και πάλι καθιστά ευάλωτη μια σελίδα σε τρίτους. Αν για παράδειγμα κάποιος εισβολέας αποκτήσει πρόσβαση στο παθητικό μικτό περιεχόμενο ενός ηλεκτρονικού καταστήματος, μπορεί να καταφέρει μεγάλο πλήγμα. Έχει τη “δύναμη” να αλλάξει φωτογραφίες στα προϊόντα και να παραπλανήσει τον επισκέπτη ή ακόμα και να προσθέσει ακατάλληλο περιεχόμενο. Επίσης, μπορεί να “ακυρώσει” λειτουργίες του site, αντικαθιστώντας εικονίδια όπως π.χ. αυτό της διαγραφής και της αποθήκευσης. Έτσι, αν ο χρήστης επιλέξει να αποθηκεύσει κάτι, μπορεί τελικά να το διαγράψει. Γενικά, υπάρχει η πιθανότητα να οδηγηθεί ο επισκέπτης σου σε μονοπάτια που δεν είχε καμία πρόθεση να βρεθεί.
Πώς να απομακρύνεις το μικτό περιεχόμενο
Με δεδομένα όλα τα παραπάνω, είναι πολύ λογικό να αναρωτιέσαι γιατί κάποιος να μην μπλοκάρει οποιοδήποτε site έχει μικτό περιεχόμενο. Κάτι τέτοιο, όμως είναι πρακτικά αδύνατο, καθώς υπάρχουν εκατομμύρια sites με μικτό περιεχόμενο που χρησιμοποιούνται, και θα συνεχίσουν να χρησιμοποιούνται, καθημερινά.
Αυτό, βέβαια, δε σημαίνει και ότι θα σου κάνει καλό να επαναπαυτείς με το μικτό περιεχόμενο στο site σου. Η εμπειρία του επισκέπτη επηρεάζεται! Μπορεί να μπει στο site, και να κάνει κανονικά αυτό που ήθελε, ωστόσο είναι πιθανό να αποχωρήσει με την αίσθηση ότι δεν κάνεις αρκετή προσπάθεια για την ασφάλειά του και την προστασία των δεδομένων που σου εμπιστεύεται. Από την άλλη, φυσικά και υπάρχει η περίπτωση, μόλις κάποιος δει σχετική ένδειξη, να αποχωρήσει τελείως από το site και να μην επιστρέψει.
Είναι, λοιπόν, σημαντικό να μπεις στη διαδικασία να κάνεις το site σου πιο ασφαλές και αξιόπιστο. Για να γίνει κάτι τέτοιο, θα πρέπει να μπλοκάρεις όλους τους επικίνδυνους τύπους μικτού περιεχομένου, και να αφήσεις τους λιγότερο επικίνδυνους τύπους να είναι διαθέσιμοι όταν αυτό ζητηθεί. Ο πιο απλός τρόπος να βρεις τι είναι περισσότερο και τι λιγότερο επικίνδυνο, είναι να διαβάσεις τις κατευθυντήριες γραμμές που ακολουθούν οι περισσότεροι από τους σύγχρονους browsers. Μετά, μπορείς να διαλέξεις την λύση που σου ταιριάζει.
Λύση 1: Plugin ή διόρθωση μικτού περιεχομένου με το χέρι
Αν χρησιμοποιείς το WordPress, μπορείς να εγκαταστήσεις το Really Simple SSL plugin που θα κάνει την ανακατεύθυνση από HTTP σε HTTPS.
Αν δεν έχεις στήσει το site σου στο WordPress, θα χρειαστεί να καταβάλεις περισσότερη προσπάθεια και να διορθώσεις ξεχωριστά κάθε περίπτωση μικτού περιεχομένου.
Ας πούμε ότι έχεις μια προειδοποίηση μικτού περιεχομένου για μια εικόνα. Για να κάνεις τη διόρθωση με το χέρι, θα πρέπει να δεις τον πηγαίο κώδικα και να εντοπίσεις το link της εικόνας. Θα δεις ότι φορτώνει με HTTP. Προσπάθησε να το κάνεις HTTPS και μετά να μπεις στο link. Αν φορτώνει κανονικά η φωτογραφία, κανένα πρόβλημα. Μπορείς απλά να κάνεις τη μετατροπή προσθέτοντας το “S” στο HTTP.
Αν, ωστόσο, στο νέο link σού εμφανίζεται ένα μήνυμα του τύπου “η σύνδεσή σας δεν είναι ιδιωτική”, θα πρέπει να δράσεις διαφορετικά, καθώς η φωτογραφία δεν μπορεί να φορτωθεί σε HTTPS. Για να λύσεις αυτό το πρόβλημα, θα πρέπει να χρησιμοποιήσεις άλλον host που έχει την ίδια φωτογραφία, ή να κατεβάσεις τη φωτογραφία στο site σου και να τη χρησιμοποιήσεις (αν έχεις τα δικαιώματα). Αν τίποτα από αυτά τα δύο δε γίνεται, τότε απλά προχώρησε στο σβήσιμό της από το site σου γενικότερα.
Λύση 2: Content Security Policy (CSP) – Για μεγαλύτερα site
Η λύση που αναφέρθηκε παραπάνω μπορεί να είναι ιδανική αν έχεις μικρότερο site, αλλά σίγουρα δεν είναι χρονικά ρεαλιστική για ένα site με πολλές εσωτερικές σελίδες και μεγάλο περιεχόμενο. Σε αυτή την περίπτωση, ένας developer μπορεί μέχρι να διορθωθούν τα URLs να επιλέξει το Content Security Policy ή CSP, ένα εργαλείο το οποίο διασφαλίζει τη διαχείριση μεγάλου όγκου μικτού περιεχομένου. Το CSP δίνει οδηγία στους περισσότερους browsers εκτός τον Microsoft Edge να αναφέρει το μικτό περιεχόμενο και το site να μην εμφανίσει απροσδόκητα μη ασφαλείς πηγές. Για οποιαδήποτε επιπλέον πληροφορία, μη διστάσεις να επικοινωνήσεις με το Support της Top.Host.
Ένα βήμα τη φορά!
Αυτό που είναι σημαντικό να συνειδητοποιήσεις, είναι το ότι δε γίνεται να αλλάξεις όλο το μικτό περιεχόμενο στο site σου μέσα σε μια μέρα. Αυτή η διαδικασία θα πάρει κάποιο χρόνο και χρειάζεται να γίνει με ακρίβεια. Ξεκίνησε, και σε καμία περίπτωση μη βιαστείς, καθώς αυτό μπορεί να κάνει τελικά ζημιά στο site σου ή στην εμπειρία του χρήστη.
Πες μας για την εμπειρία σου με το μικτό περιεχόμενο στα σχόλια!
Μπες στη συζήτηση