Вітаю вас шановні Новомосковсктелі, не так давно я отримав SSL сертифікат і перевів даний блог на https. Сьогодні так би мовити продовження цієї історії і ми поговоримо про змішаному вмісті сайту - як його знайти і виправити. Почнемо мабуть з теорії.
змішане вміст
І так, коли людина заходить на сайт за протоколом HTTPS, його з'єднання з веб-сервером шифрується за допомогою TLS і захищене від різних атак і перехоплювачів. У разі якщо на сторінці, переданої по HTTPS, містить будь-якої контент, який передається по HTTP, то з'єднання вважається частково зашифрованим: тому, що все що передається по HTTP, можна перехопити і змінити, отже таке з'єднання вже не захищене. І саме такі сторінки називаються сторінками зі змішаним контентом (вмістом).
Типи змішаного вмісту.
Є 2 групи змішаного контенту: Пасивний (відображається) і Активний вміст. Різниця між ними полягає в утраті, який може понести сайт в разі перехоплення і зміни в процесі передачі.
А ось активний змішаний контент (це скрипти, фрейми), несе вже Борее серйозні ризики. Тут вже хакери можуть вкрасти особисті дані, перенаправити користувачів на небезпечний сайт і т.д.
Як виправити сторінку з заблокованим вмістом і що може статися якщо не виправити.
Зараз практично всі найпопулярніші браузери за замовчуванням блокує активну змішаний вміст.
І ось якщо ваш сайт працює по протоколу HTTPS, а весь його активний контент (ну або частина його), відправлений по HTTP, то він буде заблокований. А від сюди витікає наступне, у вас відваляться слайдери, що випливають форми і т.д. в загальному все що працює за рахунок скриптів і ваш буде працювати неправильно. А на рахунок пасивного контенту - він поки що завантажується за замовчуванням, але є одне але, будь-який користувач може заблокувати його в настройках браузера, а щось не є гуд!
Загалом, вся суть полягає в наступному, раз ви не полінувалися перейти на https, то і не полінуйтеся позбудеться від змішаного контенту!
Як виправити сайт
Саме адекватно рішення - перевести весь контент сайту і всі його запити на HTTPS.
У випадку з картинками з інших ресурсів, можна перевірити чи можна їх отримати за https, якщо так то просто змінити посилання, якщо немає то скачати їх з тих сайтів і залити до себе на сервер, ну і відповідно змінити шлях, та й зі скриптами можна вчинити так само)
На рахунок відносних посилань, є одне але, тут браузер сам вибирає протокол, в вашому випадку він буде вибирати https, якщо то можливо, а ось якщо неможливо, то запит піде по HTTP, і у нас знову стара проблема)
Як швидко знайти і виправити змішаний вміст
Варіант 1й. Можна використовувати сервіс SSL-check. він перевірить ваш сайт на наявність HTTP запитів.
І так ви знайшли змішаний контент, все круто, у випадку з картинками все досить просто, подивився що за картинка, знайшов її на сайті і змінив. У випадку зі скриптами все набагато складніше, особливо якщо у вас стоїть який-небудь движок типу того ж wordpress з купою включених плагінів, ви ж не знаєте (97% користувачів зазвичай не знають) який плагін які скрипти підключає, а як дізнатися? У моєму випадку, у мене кльовий хостинг (Бегета - всім рекомендую його), з крутим файловим менеджером, в якому є функція пошуку
Вбив назва скрипта, він про шерстив все папки сайту, плагінів, тим і т.д. і показав файли в яких вони підключені, отже заходиш в них і правиш протокол (краще попередньо перевірити в браузері, можна його отримати з того ж сайту але по https, якщо не можна можна його звідти скачати і залити до себе і прописати новий шлях отримання) . Якщо у вас більш убогий файловий менеджер, тоді можна скачати весь сайт на комп'ютер, і зробити такий самий пошук по файлах наприклад за допомогою NOTEPAD ++.
Після цього так само рекомендую перевірити правильність установки SSL і якщо все нормально, то можна зітхнути спокійно і закрити це питання)