“Este site tem conteúdo inseguro;” “somente conteúdo seguro é exibido;” “O Firefox bloqueou conteúdo que não é seguro”. Ocasionalmente, encontramos esses avisos durante a navegação na Web, mas o que exatamente eles significam?
Existem dois tipos de conteúdo misto - um é pior que o outro, mas nenhum é bom. Os avisos de conteúdo misto indicam que algo está errado com uma página da Web que você está visitando.
RELACIONADO: O que é HTTPS e por que devo me importar? resume-se à diferença entre HTTP e HTTPS. HTTP é o tipo de conexão mais comumente usado - quando você visita um site usando o protocolo HTTP, sua conexão com o site não é segura. Qualquer pessoa que esteja ouvindo o tráfego pode ver a página que está visualizando e todos os dados que você está enviando para trás e para frente.
É por isso que temos HTTPS, que é literalmente “HTTP Seguro”. HTTPS cria uma conexão segura entre você e o servidor web. A conexão é criptografada e autenticada, para que ninguém possa bisbilhotar seu tráfego e você tem alguma garantia de que está conectado ao site correto. Isso é extremamente importante para proteger as senhas de contas e os dados de pagamento on-line, garantindo que ninguém possa espioná-los.
Os avisos de conteúdo misto indicam um problema com uma página da Web que você está acessando por HTTPS. A conexão HTTPS deve ser segura, mas o código-fonte da página da Web está obtendo outros recursos com o protocolo HTTP inseguro, não HTTPS. A barra de endereço do seu navegador da Web dirá que você está conectado com o HTTPS, mas a página também está carregando recursos com o protocolo HTTP inseguro em segundo plano. Para garantir que você saiba que a página da Web que você está usando não é totalmente segura, os navegadores exibem um aviso informando que a página tem conteúdo HTTPS e HTTP - conteúdo misto, em outras palavras.
Por que isso é perigoso
O que é criptografia e como ela funciona? Veja por que isso é realmente perigoso. Digamos que você esteja em uma página de pagamento e esteja prestes a inserir seu número de cartão de crédito. A página de pagamento indica que é uma conexão HTTPS criptografada, mas você vê um aviso de conteúdo misto. Isso deve levantar uma bandeira vermelha. É possível que os detalhes de pagamento inseridos possam ser capturados pelo conteúdo inseguro e enviados por uma conexão insegura, removendo o benefício da segurança HTTPS - alguém pode escutar e ver seus dados confidenciais.
Como o HTTP não autentica o servidor da Web da mesma forma que o HTTPS, também é possível que um site HTTPS seguro que extraia um script de um site HTTP possa ser induzido a puxar o script de um invasor e executá-lo no site protegido. Quando o HTTPS é usado, você tem mais garantias de que o conteúdo não foi adulterado e é legítimo.
Em ambos os casos, isso elimina o benefício de ter uma conexão HTTPS segura. É possível que um site tenha um aviso de conteúdo inseguro e ainda proteja seus dados pessoais corretamente, mas realmente não sabemos ao certo e não deve correr o risco - é por isso que os navegadores avisam quando você se depara com um site que não é codificado adequadamente.
Conteúdo ativo misto vs. conteúdo passivo misto
O segundo tipo é “conteúdo passivo misto” ou “conteúdo de exibição misto”. Isso ocorre quando um site HTTPS carrega algo como uma imagem ou arquivo de áudio em uma conexão HTTP. Esse tipo de conteúdo não pode arruinar a segurança da página da mesma maneira, portanto, os navegadores da Web não reagem com a mesma intensidade. No entanto, ainda é uma prática de segurança ruim que pode causar problemas. Por exemplo, um invasor pode substituir a imagem por uma imagem enganosa, adulterando uma página teoricamente segura. Uma solicitação de carregamento de imagem também contém cabeçalhos que contêm informações de cookie associadas a um site, por isso, até carregar uma imagem em uma conexão não segura pode causar problemas. Os navegadores da Web geralmente exibem um ícone ou mensagem de aviso, em vez de bloquear completamente o conteúdo, pois esse tipo de conteúdo misto ainda é muito comum em sites reais. No Chrome, você verá um cadeado com um triângulo amarelo.
O que fazer quando você vê um aviso de conteúdo misto
Se você vir um aviso de que uma página contém outros recursos que podem não ser seguros, provavelmente é seguro efetuar login de qualquer maneira. Não é um bom sinal se um site tão importante quanto seu banco tiver esse problema, mas esse tipo de aviso de conteúdo misto é muito comum.
Por outro lado, avisos de conteúdo misto não são realmente importantes se você estiver acessando um site que não precisa de HTTPS. Tudo o que um aviso de conteúdo misto significa é que uma página da web pode se beneficiar da segurança HTTPS - em outras palavras, no pior dos casos, a página da web que você está visitando é tão insegura quanto um site HTTP padrão. Então, se você estivesse acessando um site como a Wikipedia apenas para ler alguns artigos e você visse um aviso de conteúdo misto, você não deveria se preocupar muito com isso. Na pior das hipóteses, é tão inseguro quanto se você estivesse lendo artigos na Wikipedia por meio de uma conexão HTTP padrão, o que você não teria problema em fazer de qualquer maneira.
Por que algumas páginas da Web têm esse problema
Se você é um desenvolvedor da Web, tudo o que precisa fazer é garantir que suas páginas HTTPS carreguem conteúdo de URLs HTTPS, não URLs HTTP. Uma maneira de fazer isso é fazer com que todo o seu site trabalhe apenas sobre SSL, então tudo usa apenas HTTPS.
Se você quiser fazer uma página que possa ser servida via HTTP ou HTTPS e fazer a coisa certa automaticamente, você pode usar “URLs relativos ao protocolo” para que o navegador do usuário escolha automaticamente HTTP ou HTTPS conforme apropriado, dependendo do protocolo ao qual o usuário está conectado. Por exemplo, um URL relativo ao protocolo para carregar uma imagem seria semelhante a
. O navegador adicionará automaticamente ou ao início do URL, o que for apropriado. Obviamente, você precisará garantir que o site ao qual você está vinculando ofereça recursos sobre HTTP e HTTPS.
Os navegadores da Web estão bloqueando automaticamente conteúdo misto ou sua proteção, e é por isso. Se você precisar usar um site seguro que não funcione corretamente, a menos que você habilite conteúdo misto, o proprietário do site deve corrigi-lo.
O que significa o “Fi” no Wi-Fi?
Muitas pessoas entraram em debates e discussões “interessantes” sobre o verdadeiro significado do termo “Wi-Fi”, mas o que a porção “Fi” do termo em si realmente significa? A postagem de perguntas e respostas do SuperUser de hoje tem a resposta para a pergunta de um curioso leitor. A sessão de Perguntas e Respostas vem para nós, cortesia da SuperUser - uma subdivisão do Stack Exchange, um agrupamento de sites de perguntas e respostas conduzido pela comunidade.
Windows pede para formatar sua unidade USB ou cartão SD quando conectado?
Então aqui está um problema muito chato: você conecta uma unidade USB ou um leitor de cartão SD USB ao seu PC e o Windows diz que precisa formatar a unidade para usá-la corretamente! O único problema é que você não tem esse problema há dois dias e tudo muito bem conectado! Então, qual é a solução?Bem, o Window