التخطي إلى المحتوى الرئيسي
pdf?stylesheet=default
Blackboard Help

أمان المستعرض والمحتوى المختلط

 قام كل من Google Chrome وMozilla FireFox بتنفيذ عمليات "حظر المحتوى المختلط" لحماية أجهزة الكمبيوتر من الهجمات الأمنية التي تتعرض لها من خلال المحتوى غير المؤمن الوارد من الصفحات المؤمنة.

الأمن: المحتوى المختلط في صفحات مواقع الويب

ما هو المحتوى المختلط ولماذا يعتبر هذا الأمر هاماً؟

عادة تستخدم مواقع الويب التي تطلب الحصول على معلومات حساسة، مثل أسماء المستخدمين وكلمات المرور، اتصالات أمنة (https) لنقل المحتوى من وإلى الكمبيوتر الذي تستخدمه. فإذا كنت تزور موقعاً من خلال اتصال آمن فإن كل من Google Chrome وFirefox يتحققان من أن المحتوى الموجود على صفحة الويب قد تم نقله بأمان. وفي حالة اكتشاف أي من المستعرضين وجود أنواع من المحتوى على الصفحة واردة من قنوات غير آمنة (http)، فسيمنع المستعرض تلقائياً تحميل المحتوى وسترى رمز الدرع ظاهراً على شريط العناوين.

وعن طريق حظر المحتوى والفجوات الأمنية المحتملة، فإن Chrome وFirefox يحميان معلوماتك الموجودة على الصفحة من الوقوع بين الأيدي غير الصحيحة.

أنواع المحتوى المختلط

يوجد نوعان من المحتوى اللذان يؤثران على تجربة المستخدم الخاصة بعرض صفحة الويب، وفي سياق المحتوى المختلط فلكل منها مستويات متنوعة من المخاطرة:

المحتوى المختلط غير النشط أو عرض المحتوى

يعتبر المحتوى المختلط غير النشط هو محتوى HTTP موجود على موقع ويب HTTPS لا يمكنه تبديل نموذج كائن المستند (DOM) لصفحة الويب.  وبشكل أبسط، يمتلك محتوى HTTP غير النشط تأثيراً محدوداً على موقع ويب HTTPS.  على سبيل المثال، يستطيع الهاجم استبدال صورة محفوظة على HTTP بصورة غير لائقة أو رسالة مضللة للمستخدم. ومع هذا، فإن المهاجم لا يمتلك القدرة على التأثير على باقي صفحة الويب، ولكنه يؤثر فقط على جزء الصفحة التي تم تحميل الصورة عليها.

يستطيع المهاجم استدلال المعلومات حول نشاط استعراض المستخدم عن طريق مراقبة الصور المقدمة للمستخدم، ومن ثم يستطيع اكتشاف الصفحات التي تمت زيارتها. كما أنه مع ملاحظة رؤوس HTTP المرسلة لاستعادة الصورة وتسليمها يستطيع المهاجم عرض سلسلة وكيل المستخدم وأي ملفات تعريف ارتباط مقترة بالمجال الذي تم طلب الصورة منه. وفي حالة تقديم المحتوى من نفس المجال الخاص بصفحة الويب الرئيسية، فقد تكون معلومات الجلسة مكشوفة مما يؤثر على حماية HTTPS المتوفرة لحساب المستخدم.

ومن أمثلة المحتوى غير النشط نجد تحميلات الصور والصوت والفيديو.

المحتوى النشط المختلط أو محتوى البرنامج النصي

يعتبر المحتوى النشط عبارة عن محتوى يمكنه الوصول إلى نموذج كائن المستند (DOM) لصفحة HTTPS بأكمله أو أجزاء منه ويمكن أو يؤثر عليه. ويستطيع هذا النوع من المحتوى المختلط تبديل سلوك صفحة HTTPS واحتمال سرقة البيانات الحساسة من المستخدم. وبالإضافة إلى المخاطر الموصوفة بالفعل للمحتوى المختلط غير النشط المذكور أعلاه، فإن المحتوى النشط المختلط معرض أيضاً لعدد من موجهات الهجمات المحتملة.

مثال: يستطيع مهاجم "رجل في الوسط" (MITM) اعتراض طلبات محتوى HTTP النشط. ويستطيع المهاجم بعد ذلك إعادة كتابة الرد ليتضمن رمز JavaScript الخبيث. ويستطيع البرنامج النصي الخبيث سرقة بيانات اعتماد المستخدم، أو الاستحواذ على البيانات الحساسة الخاصة بالمستخدم أو محاولة تثبيت برنامج خبيث على نظام المستخدم (عن طريق دعم المكونات الإضافية العرضة للهجوم التي ثبتها المستخدم، كمثال).

ومن أمثلة المحتوى النشط JavaScript وCSS والكائنات وطلبات xhr وiframes والخطوط.

القضاء على الحاجة لعناصر تحكم المستعرض الخاصة بالمستخدم

للقضاء على الحاجة لتحكم المستخدم في المحتوى بأكمله، يجب توفير المحتوى غير النشط والفعال من خلال HTTPS.

إدارة المستعرض للمحتوى المختلط من خلال المستعرض...

تصف الأقسام التالية كيف يدير المستعرض عناصر التجكم الخاصة بالوصول إلى المحتوى المختلط لمستعرضي Google Chrome وMozilla Firefox.

وعن طريق متابعة الصفحات النموذجية الموجودة على https://people.mozilla.org/~tvyas/mixedcontent.html سترى تأثير المحتوى المختلط على تجربة استعراض المستخدم وستفهم تأثير إعدادات المستعرض على عرض الصفحة.

لاحظ أن مفاهيم حظر المحتوى المختلط تتشابه عبر المستعرضات وأن إدارة الوصول ومستويات المعلومات هي الفروق الأساسية بين المستعرضات التي تدعم حظر المحتوى المختلط.

قم بزيارة القسم الذي ينطبق على المستعرض الخاص بك للحصول على التفاصيل.