"Situs ini memiliki konten tidak aman;" "hanya konten yang aman ditampilkan;" "Firefox telah memblokir konten yang tidak aman." Anda kadang-kadang menemukan peringatan ini saat menjelajahi web, tapi apa sebenarnya artinya?
Ada dua jenis konten campuran - yang satu lebih buruk dari yang lain, tetapi tidak bagus. Peringatan konten campuran menunjukkan bahwa ada yang salah dengan halaman web yang Anda kunjungi.
Ini semua bermuara pada perbedaan antara HTTP dan HTTPS. HTTP adalah jenis koneksi yang paling sering digunakan - ketika Anda mengunjungi situs web menggunakan protokol HTTP, koneksi Anda ke situs web tidak dijamin. Siapa pun yang menguping lalu lintas dapat melihat halaman yang Anda lihat dan data apa pun yang Anda kirim bolak-balik.
Itulah sebabnya kami memiliki HTTPS, yang secara harfiah adalah "HTTP Aman." HTTPS menciptakan koneksi aman antara Anda dan server web. Sambungan dienkripsi dan diautentikasi, sehingga tidak ada yang dapat mengintip lalu lintas Anda dan Anda memiliki jaminan bahwa Anda terhubung ke situs web yang benar. Ini sangat penting untuk mengamankan kata sandi akun dan data pembayaran online, memastikan tidak ada yang bisa mengupingnya.
Peringatan konten campuran menunjukkan masalah dengan halaman web yang Anda akses melalui HTTPS. Koneksi HTTPS harus aman, tetapi kode sumber halaman web menarik sumber daya lain dengan protokol HTTP tidak aman, bukan HTTPS. Bilah alamat peramban web Anda akan mengatakan Anda terhubung dengan HTTPS, tetapi halaman tersebut juga memuat sumber daya dengan protokol HTTP tidak aman di latar belakang. Untuk memastikan Anda tahu bahwa halaman web yang Anda gunakan tidak sepenuhnya aman, browser menampilkan peringatan yang mengatakan bahwa halaman memiliki konten HTTPS dan HTTP - konten campuran, dengan kata lain.
Inilah mengapa ini sebenarnya berbahaya. Katakanlah Anda berada di halaman pembayaran dan Anda akan memasukkan nomor kartu kredit Anda. Halaman pembayaran menunjukkan itu koneksi HTTPS terenkripsi, tetapi Anda melihat peringatan konten campuran. Ini harus menaikkan bendera merah. Ada kemungkinan bahwa detail pembayaran yang Anda masukkan dapat ditangkap oleh konten tidak aman dan dikirim melalui sambungan tidak aman, menghapus manfaat keamanan HTTPS - seseorang dapat menguping dan melihat data sensitif Anda.
Karena HTTP tidak mengotentikasi server web dengan cara yang sama dengan HTTPS, itu juga mungkin bahwa situs HTTPS aman yang menarik skrip dari situs HTTP dapat diakali dengan menarik skrip penyerang dan menjalankannya di situs yang dinyatakan aman. Ketika HTTPS digunakan, Anda memiliki lebih banyak jaminan bahwa konten tidak dirusak dan sah.
Dalam kedua kasus, ini menghilangkan manfaat memiliki koneksi HTTPS yang aman. Ada kemungkinan bahwa situs web dapat memiliki peringatan konten tidak aman dan masih mengamankan data pribadi Anda dengan baik, tetapi kami benar-benar tidak tahu pasti dan tidak seharusnya mengambil risiko - itulah mengapa peramban web memperingatkan Anda ketika Anda menemukan situs web yang tidak dikodekan dengan benar.
Sebenarnya ada dua jenis konten campuran. Yang lebih berbahaya adalah "konten aktif campuran" atau "campuran scripting." Ini terjadi ketika situs HTTPS memuat file skrip melalui HTTP. File skrip dapat menjalankan kode apa pun pada halaman yang diinginkan, jadi memuat skrip melalui sambungan tidak aman benar-benar merusak keamanan halaman saat ini. Browser web umumnya memblokir jenis konten campuran ini sepenuhnya.
Jenis kedua adalah "konten pasif campuran" atau "konten tampilan campuran." Ini terjadi ketika situs HTTPS memuat sesuatu seperti file gambar atau audio melalui koneksi HTTP. Jenis konten ini tidak dapat merusak keamanan laman dengan cara yang sama, sehingga peramban web tidak bereaksi dengan kasar. Namun, ini masih merupakan praktik keamanan yang buruk yang dapat menyebabkan masalah. Misalnya, penyerang dapat mengganti gambar dengan gambar yang menyesatkan, merusak halaman yang aman secara teoritis. Permintaan pemuatan gambar juga berisi header yang berisi informasi cookie yang terkait dengan situs web, jadi bahkan memuat gambar melalui sambungan tidak aman dapat menyebabkan masalah. Browser web sering menampilkan ikon atau pesan peringatan daripada memblokir konten sepenuhnya, karena jenis konten campuran ini masih sangat umum di situs web nyata. Di Chrome, Anda akan melihat gembok dengan segitiga kuning.
Browser web umumnya memblokir jenis konten campuran yang paling berbahaya secara default. Jangan membuka blokirnya. Jika Anda tidak dapat masuk ke situs web atau memasukkan rincian pembayaran online tanpa memuat konten campuran, Anda cukup meninggalkan situs web dan tidak memasukkan informasi Anda ke situs web yang tidak aman. Biarkan pemilik situs web tahu bahwa situs mereka tidak aman dan rusak.
Jika Anda melihat peringatan bahwa laman berisi sumber daya lain yang mungkin tidak aman, mungkin tetap aman untuk masuk. Ini bukan pertanda baik jika situs web sama pentingnya dengan bank Anda memiliki masalah ini, tetapi jenis peringatan konten campuran ini sangat umum.
Di sisi lain, peringatan konten campuran bukanlah masalah besar jika Anda mengakses situs web yang tidak memerlukan HTTPS. Semua peringatan konten campuran berarti bahwa halaman web dijamin akan mendapat manfaat dari keamanan HTTPS - dengan kata lain, dalam skenario terburuk, halaman web yang Anda kunjungi tidak aman sebagai situs HTTP standar. Jadi, jika Anda mengakses situs web seperti Wikipedia hanya untuk membaca beberapa artikel dan Anda melihat peringatan konten campuran, Anda tidak perlu terlalu mempedulikannya. Dalam skenario terburuk, itu sama tidak amannya seolah-olah Anda sedang membaca artikel di Wikipedia melalui koneksi HTTP standar, yang Anda tidak akan punya masalah melakukannya.
Anda hanya akan melihat kesalahan ini jika ada masalah dengan cara halaman web dikodekan. Jika halaman web dilayani melalui HTTPS, itu juga harus menggunakan protokol HTTPS untuk menarik file skrip dan konten lain yang diperlukannya. Pengembang web harus menguji halaman web mereka, memastikan bahwa mereka tidak memicu peringatan yang tampak menakutkan di browser pengguna. Jika Anda seorang pengguna, Anda tidak dapat benar-benar melakukan apa pun tentang ini - terserah pemilik situs web untuk memperbaikinya.
Jika Anda seorang pengembang web, yang harus Anda lakukan adalah memastikan laman HTTPS Anda memuat konten dari URL HTTPS, bukan HTTP URL. Salah satu cara untuk melakukan ini adalah dengan membuat seluruh situs web Anda hanya berfungsi melalui SSL, jadi semuanya hanya menggunakan HTTPS.
Jika Anda ingin membuat halaman yang dapat dilayani melalui HTTP atau HTTPS dan melakukan hal yang benar secara otomatis, Anda dapat menggunakan "URL relatif protokol" agar peramban pengguna secara otomatis memilih HTTP atau HTTPS sebagaimana mestinya, bergantung pada protokol mana pengguna tersebut terhubung dengan. Misalnya, URL relatif protokol untuk memuat gambar akan terlihat seperti Browser web secara otomatis memblokir konten campuran atau perlindungan Anda, dan inilah alasannya. Jika Anda perlu menggunakan situs web aman yang tidak berfungsi dengan baik kecuali Anda mengaktifkan konten campuran, pemilik situs web harus memperbaikinya.
