Ada dua jenis konten campuran - yang satu lebih buruk dari yang lain, tetapi tidak bagus. Peringatan konten campuran menunjukkan bahwa ada yang salah dengan halaman web yang Anda kunjungi.
Apa itu Konten Campuran?
Ini semua bermuara pada perbedaan antara HTTP dan HTTPS. HTTP adalah jenis koneksi yang paling sering digunakan - ketika Anda mengunjungi situs web menggunakan protokol HTTP, koneksi Anda ke situs web tidak aman. Siapa pun yang menguping lalu lintas dapat melihat halaman yang Anda lihat dan data apa pun yang Anda kirim bolak-balik.
Itulah sebabnya kami memiliki HTTPS, yang secara harfiah adalah "Aman HTTP". HTTPS membuat koneksi aman antara Anda dan server web. Sambungan dienkripsi dan diautentikasi, sehingga tidak ada yang dapat mengintip lalu lintas Anda dan Anda memiliki jaminan bahwa Anda terhubung ke situs web yang benar. Ini sangat penting untuk mengamankan kata sandi akun dan data pembayaran online, memastikan tidak ada yang bisa mengupingnya.
Peringatan konten campuran menunjukkan masalah dengan halaman web yang Anda akses melalui HTTPS. Sambungan HTTPS harus aman, tetapi kode sumber laman web menarik sumber daya lain dengan protokol HTTP tidak aman, bukan HTTPS. Bilah alamat browser web Anda akan mengatakan bahwa Anda terhubung dengan HTTPS, tetapi halaman tersebut juga memuat sumber daya dengan protokol HTTP tidak aman di latar belakang. Untuk memastikan Anda tahu bahwa halaman web yang Anda gunakan tidak sepenuhnya aman, browser menampilkan peringatan yang mengatakan bahwa halaman memiliki konten HTTPS dan HTTP - konten campuran, dengan kata lain.
Mengapa Ini Berbahaya
Inilah mengapa ini sebenarnya berbahaya. Katakanlah Anda berada di halaman pembayaran dan Anda akan memasukkan nomor kartu kredit Anda. Halaman pembayaran menunjukkan itu adalah koneksi HTTPS terenkripsi, tetapi Anda melihat peringatan konten campuran. Ini harus menaikkan bendera merah. Ada kemungkinan bahwa detail pembayaran yang Anda masukkan dapat ditangkap oleh konten tidak aman dan dikirim melalui sambungan tidak aman, menghapus manfaat keamanan HTTPS - seseorang dapat menguping dan melihat data sensitif Anda.
Karena HTTP tidak mengautentikasi server web dengan cara yang sama dengan HTTPS, itu juga mungkin bahwa situs HTTPS aman yang menarik skrip dari situs HTTP dapat diakali untuk menarik skrip penyerang dan menjalankannya di situs yang dinyatakan aman. Ketika HTTPS digunakan, Anda memiliki lebih banyak jaminan bahwa konten tidak dirusak dan sah.
Dalam kedua kasus, ini menghilangkan manfaat memiliki koneksi HTTPS yang aman. Ada kemungkinan bahwa situs web dapat memiliki peringatan konten tidak aman dan masih mengamankan data pribadi Anda dengan baik, tetapi kami benar-benar tidak tahu pasti dan tidak seharusnya mengambil risiko - itulah mengapa peramban web memperingatkan Anda ketika Anda menemukan situs web yang tidak dikodekan dengan benar.
Konten Aktif Campuran vs. Konten Pasif Campuran
Sebenarnya ada dua jenis konten campuran. Yang lebih berbahaya adalah "konten aktif campuran" atau "campuran scripting." Ini terjadi ketika situs HTTPS memuat file skrip melalui HTTP. File skrip dapat menjalankan kode apa pun pada halaman yang diinginkan, jadi memuat skrip melalui sambungan tidak aman benar-benar merusak keamanan halaman saat ini. Browser web umumnya memblokir jenis konten campuran ini sepenuhnya.
Jenis kedua adalah "konten pasif campuran" atau "konten tampilan campuran." Ini terjadi ketika situs HTTPS memuat sesuatu seperti file gambar atau audio melalui koneksi HTTP. Jenis konten ini tidak dapat merusak keamanan laman dengan cara yang sama, sehingga peramban web tidak bereaksi dengan kasar. Namun, itu masih praktik keamanan yang buruk yang dapat menyebabkan masalah. Misalnya, penyerang dapat mengganti gambar dengan gambar yang menyesatkan, merusak halaman yang aman secara teoritis. Permintaan pemuatan gambar juga berisi header yang berisi informasi cookie yang terkait dengan situs web, jadi bahkan memuat gambar melalui sambungan tidak aman dapat menyebabkan masalah. Browser web sering menampilkan ikon atau pesan peringatan daripada memblokir konten sepenuhnya, karena jenis konten campuran ini masih sangat umum di situs web nyata. Di Chrome, Anda akan melihat gembok dengan segitiga kuning.
Apa yang Harus Dilakukan Ketika Anda Melihat Peringatan Konten Campuran
Browser web umumnya memblokir jenis konten campuran yang paling berbahaya secara default. Jangan batalkan pemblokirannya. Jika Anda tidak dapat masuk ke situs web atau memasukkan detail pembayaran online tanpa memuat konten campuran, Anda cukup meninggalkan situs web dan tidak memasukkan informasi Anda ke situs web yang tidak aman. Biarkan pemilik situs web tahu bahwa situs mereka tidak aman dan rusak.
Jika Anda melihat peringatan bahwa laman berisi sumber daya lain yang mungkin tidak aman, mungkin tetap aman untuk masuk. Ini bukan pertanda baik jika situs web sama pentingnya dengan bank Anda memiliki masalah ini, tetapi jenis peringatan konten campuran ini sangat umum.
Di sisi lain, peringatan konten campuran bukanlah masalah besar jika Anda mengakses situs web yang tidak memerlukan HTTPS.Semua peringatan konten campuran berarti bahwa halaman web dijamin akan mendapat manfaat dari keamanan HTTPS - dengan kata lain, dalam skenario terburuk, halaman web yang Anda kunjungi tidak aman sebagai situs HTTP standar. Jadi, jika Anda mengakses situs web seperti Wikipedia hanya untuk membaca beberapa artikel dan Anda melihat peringatan konten campuran, Anda tidak perlu terlalu mempedulikannya. Dalam skenario terburuk, itu sama tidak amannya seperti jika Anda membaca artikel di Wikipedia melalui koneksi HTTP standar, yang bagaimanapun Anda tidak akan mengalami masalah.
Mengapa Beberapa Halaman Web Punya Masalah Ini
Anda hanya akan melihat kesalahan ini jika ada masalah dengan cara halaman web dikodekan. Jika halaman web dilayani melalui HTTPS, itu juga harus menggunakan protokol HTTPS untuk menarik file skrip dan konten lain yang diperlukannya. Pengembang web harus menguji halaman web mereka, memastikan bahwa mereka tidak memicu peringatan yang tampak menakutkan di browser pengguna. Jika Anda adalah pengguna, Anda tidak dapat benar-benar melakukan apa pun tentang ini - terserah kepada pemilik situs web untuk memperbaikinya.
Jika Anda seorang pengembang web, yang harus Anda lakukan adalah memastikan laman HTTPS Anda memuat konten dari URL HTTPS, bukan HTTP URL. Salah satu cara untuk melakukan ini adalah dengan membuat seluruh situs web Anda hanya berfungsi melalui SSL, jadi semuanya hanya menggunakan HTTPS.
Jika Anda ingin membuat halaman yang dapat dilayani melalui HTTP atau HTTPS dan melakukan hal yang benar secara otomatis, Anda dapat menggunakan "URL relatif protokol" agar peramban pengguna secara otomatis memilih HTTP atau HTTPS sebagaimana mestinya, bergantung pada protokol mana pengguna tersebut terhubung dengan. Misalnya, URL relatif protokol untuk memuat gambar akan terlihat seperti
. Browser akan secara otomatis menambahkan http: atau https: ke awal URL, mana saja yang sesuai. Tentu saja, Anda harus memastikan situs yang Anda tautkan untuk menawarkan sumber daya melalui HTTP dan HTTPS.Browser web secara otomatis memblokir konten campuran atau perlindungan Anda, dan inilah alasannya. Jika Anda perlu menggunakan situs web aman yang tidak berfungsi dengan baik kecuali Anda mengaktifkan konten campuran, pemilik situs web harus memperbaikinya.