Problemas de Mixed Content com Certificados SSL

Mixed Content é quando a gente encontra conteúdos criptografados e outros inseguros na mesma página. Além de causar problemas à navegação, é questão importante na segurança dos sites.

Problemas de Mixed Content com Certificados SSL

Mixed Content — em bom português, conteúdo misto — é o que acontece quando o HTML inicial de uma página entra por uma conexão protegida (HTTPS), mas outros recursos usados no site (imagens, vídeos, CSS ou scripts, por exemplo) usam conexões HTTP, desprotegidas.

Mixed Content exatamente por isso: há dados criptografados e dados abertos na mesma página. Hoje, os navegadores já indicam quando isso acontece. O problema é que quando o conteúdo está em HTTP, sem qualquer proteção, ele pode ser alterado por terceiros.

A grande questão é que essa mistura de conteúdos enfraquece a segurança do conjunto — sim, da página inteira — pois algumas solicitações ficam vulneráveis a ataques. Além de modificar o conteúdo, é possível muitas vezes, controlar totalmente a página.

Embora muitos navegadores comuniquem advertências de conteúdo misto ao usuário, quando isso acontece, é tarde demais: as solicitações desprotegidas já foram realizadas e a segurança da página está comprometida. Infelizmente, esse cenário é muito comum na web, por isso os navegadores não conseguem simplesmente bloquear todas as solicitações mistas sem restringir o funcionamento de muitos sites.

Apesar de cenário comum na web, os navegadores não conseguem bloquear todas as solicitações mistas sem interferir no funcionamento dos sites — e acabam lidando com isso, embora enviem advertência.

Por isso todos os desenvolvedores e proprietários de sites devem estar atentos à questão e resolver as questões de Mixed Content em suas páginas.

Entenda mais: nós já falamos sobre a importância do HTTPS aqui.

Mixed Content: como encontrar e resolver

A tarefa é importante e pode exigir muito tempo para ser resolvida. Encontrar a fonte de Mixed Content pode ficar mais fácil se você usar o site Why no Padlock? O Google também tem dicas muitas para você entender onde estão os problemas no Google Developers.

Depois de encontrar as fontes de problemas, e preciso consertar todas as URL’s que estão em HTTP. Existe a possibilidade que você esteja usando um link vencido e que o conteúdo já esteja em HTTPS. Neste caso, basta verificar e depois trocar o http:// por https://.

Só que… muitas vezes a fonte do problema não está em HTTPS. Nestes casos, ou você usa uma fonte diferente (e criptografada), ou baixa o conteúdo para o seu site; ou, caso nenhuma das opções anteriores seja possível, exclui o recurso do site ou página.

O trabalho manual funciona muito bem para sites pequenos. Já nos grandes, pode ser muito difícil controlar todo o conteúdo carregado. Uma das formas recomendadas é usar a Política de Segurança de Conteúdo (CSP, em inglês) para que o navegador notifique o proprietário ou desenvolvedor e evitar o carregamento de conteúdos não confiáveis.

Mixed Content e a Política de Segurança de Conteúdo

O CSP permite controlar o conteúdo misto no site e a política de aplicação, protegendo os usuários ao bloquear a exibição de Mixed Content. Ele é muito útil em caso externos ao uso de conteúdo misto.

Para ativar o CSP é preciso incluir o cabeçalho Content-Security-Policy nas suas páginas. É possível ativar o recurso usando uma tag <meta> na seção <head> da página. Você encontra as regras de uso de CSP nos seguintes sites:

Ficou com dúvidas ou tem dificuldade? Chame o nosso suporte que estamos aqui para isso.


Fontes: Google Developers

 

Quero ser cliente da PortoFácil!Contato

Avalie este conteúdo!

Avaliação média: 4.65
Total de Votos: 40

Problemas de Mixed Content com Certificados SSL

Compartilhe

Publicado por lufreitas – 20 de Abril de 2018