Что такое небезопасный контент
Отключить предупреждение о небезопасном содержимом в Chrome
Отключить предупреждение о небезопасном содержимом
Google не рекомендует делать это, но если вы хотите отключить предупреждение о небезопасном контенте в Chrome, вы можете использовать следующий флаг командной строки, чтобы Chrome не проверял наличие небезопасного содержимого:
Вы можете, если хотите, создать ярлык, используя следующий путь в качестве цели:
C: \ Users \% username% \ AppData \ Local \ Google \ Chrome \ Application \ chrome.exe –allow-running-insecure-content
Веб-разработчики могут увидеть небезопасные сценарии, найденные на сайте, открыв меню Chrome> Инструменты> Консоль Javascript.
Защищенный контент в Chrome
Этот параметр позволяет сайтам использовать идентификаторы компьютеров, чтобы однозначно идентифицировать ваш компьютер, чтобы разрешить доступ к защищенному контенту, такому как фильмы или музыка, которые вы приобрели.
Вам может потребоваться перезагрузить компьютер Windows после нажатия кнопки «Готово», чтобы применить этот параметр.
В настройках контента вы также можете изменить другие настройки контента. Если вы отключите изображения или сценарии, Chrome отобразит значок внутри омнибара, чтобы сообщить вам, что указанное содержимое было заблокировано.
Смешанный контент при загрузке с HTTPS: как найти и побороть
Необходимость перехода на HTTPS — это затертая пластинка. Большинство коммерческих сайтов и читаемых блогов уже давно работают на защищенном протоколе. Казалось бы, перешли и забыли. Но нет — Google не дремлет. В свое время он промотивировал вебмастеров переходить на HTTPS, сделав его фактором ранжирования. А теперь пустил в ход «негативное подкрепление» — начал тотальную блокировку ресурсов, подгружаемых по HTTP. И — сюрприз — ваш прекрасный HTTPS может ему не понравиться, потому что на сайте присутствует смешанный контент.
Разбираемся, почему Google его не любит, как его найти и сделать так, чтобы все было хорошо.
Как Google мотивирует переходить на HTTPS: от пряника к кнуту
Борьба Google за безопасность передачи данных путем использования HTTPS началась давно:
Блокировка будет внедряться постепенно:
Блокировка смешанного контента применяется не только в Chrome. Например, активное содержимое блокирует Firefox (с версии 23), Internet Explorer (с версии 9) и другие браузеры. Но к блокировке картинок, аудио и видеоконтента приступили именно в Google.
В результате стимулирования перехода на защищенный протокол доля сайтов, которые используют HTTPS, за последний год увеличилась с 43,5% до 56,5%.
А 85% страниц, загружаемых в Chrome пользователями из России, передают данные по HTTPS. В 2015 году этот показатель был всего 28%.
С учетом того, что в России браузер Chrome использует около 41% пользователей, к блокировке смешанного контента стоит подготовиться, чтобы не потерять трафик и позиции в органике.
Модуль SEO в системе Promopult: все инструменты для улучшения качества сайта и поискового продвижения. Полный комплекс работ — с нами вы не упустите ни одной мелочи. Чек-листы, подсказки, прозрачная отчетность и рекомендации профессионалов. Гарантии, оплата работ в рассрочку.
Давайте разбираться по порядку.
Что такое смешанный контент и почему его не должно быть на сайте
Смешанный контент (в оригинале — «mixed content») — это когда страница загружается по защищенному HTTPS соединению, но отдельные ресурсы (изображения, стили, скрипты и проч.) — по незащищенному HTTP.
Например, вы перешли на HTTPS (еще нет? вот инструкция). Но на одной из страниц вы по-прежнему загружаете изображение из внешней библиотеки, которая доступна по адресу вида site.ru. Это и есть смешанный контент.
Согласно спецификации W3C, смешанный контент делится на два вида:
Блокируемый контент является активным. Злоумышленники могут перехватить и изменить активный контент так, чтобы получить полный контроль над страницей или даже всем сайтом. Кража паролей и личных данных пользователей, cookies, перенаправление пользователей на другой сайт, изменение видимого содержимого — это лишь несколько примеров того, какие угрозы несет загрузка активного контента по HTTP.
Из-за высокого потенциального ущерба и риска для пользователей браузерам рекомендовано блокировать такой смешанный контент.
Вот некоторые типы HTTP-запросов, которые считаются активным содержимым:
Нежелательный контент
В современном мире интернетом пользуются люди разных возрастов. Едва ли не каждый, будь то ребенок или пожилой человек, имеет страницу в социальной сети, пользуется поисковыми системами для получения ответов на вопросы, смотрит видео, читает книги или слушает музыку. В связи с этим вероятность того, что пользователь встретит в сети нежелательный контент, очень велика, и от вида такого контента будут зависеть размер и тяжесть полученного ущерба.
Классификация нежелательного контента
Нежелательный контент можно разделить на несколько основных типов.
Вредоносные программы различаются методами проникновения, принципами работы и решаемыми задачами. Традиционная классификация включает три их разновидности: классические вирусы, черви и «троянские кони». Классический вирус встраивается в существующие программы или документы («заражает» их) и в дальнейшем выполняется при каждом запуске инфицированного файла. Черви распространяются по компьютерным сетям — как правило, посредством уязвимостей в прошивках оборудования, операционных системах и прикладных программах. Под «трояном» обычно понимают вредоносный код, который маскируется под легитимное полезное приложение. Стоит дополнительно отметить инструменты, скрывающие свое присутствие не только от пользователя, но и от защитного программного обеспечения (руткиты), а также средства удаленного администрирования (RAT, бэкдоры), которые позволяют злоумышленнику не только управлять любым приложением на ПК, но и производить запись видео / аудио с имеющейся камеры / микрофона, загружать и сохранять файлы, сохранять последовательности нажатия клавиш.
Спам — это письма, которые приходят на электронную почту от неизвестных людей и компаний. Такие сообщения обычно имеют завлекающую тему и содержат какую-либо рекламную информацию, призывающую что-то купить или выиграть. Выполняя действия, описанные в письме, можно не только потерять деньги: просмотр прикрепленных к письму документов и изображений является одним из способов загрузить на свой компьютер вредоносную программу, что может привести к потере личной информации.
К потенциально опасным объектам можно отнести программы, которые содержат рекламу (adware), а также шпионские приложения (spyware), скрытно устанавливаемые на устройство без согласия пользователя с целью сбора информации, изменения каких-либо настроек и т.д. Кроме того, разработчики средств безопасности иногда включают в эту группу легитимные программные комплексы, которые можно использовать во вред (например, утилиты для удаленного управления компьютером партнера, применяемые в рамках оказания технической поддержки, могут превратиться в инструмент злоумышленника, аналогичный бэкдору).
В целом каждый сам решает, какая информация для него является нежелательной, что загружать на свой ПК и какие сайты посещать, при этом в некоторых случаях осознанно идя на риск. Однако существуют сетевые ресурсы, содержащие информацию, распространение которой запрещено в Российской Федерации на законодательном уровне. Такие сайты образуют особую категорию нежелательного контента. Кроме того, в особую группу можно выделить веб-страницы с информацией, не соответствующей возрасту пользователя (т.е. неподходящие для определенных возрастных категорий), и ресурсы, блокируемые на рабочих местах с целью уменьшения времени, которое тратится сотрудниками организации на развлечения.
Объект воздействия
Угрозе заражения подвержены все устройства, имеющие подключение к интернету. С нежелательным контентом сталкиваются все: домашние и корпоративные пользователи, владельцы смартфонов и персональных компьютеров. Никто не защищен от вредоносных программ на 100%, но неопытные пользователи более уязвимы. Если человек знает о киберкриминальных инструментах и о том, как они могут попасть в компьютер, то злоумышленнику придется приложить много усилий, чтобы добраться до жертвы. Если же пользователь слабо просвещен в таких вопросах, то он становится легкой добычей для атакующего.
В частности, тот, кто имеет опыт работы с различными приложениями, не будет скачивать на свой ПК сомнительные файлы или посещать сайты такого же характера. Это и отличает опытного пользователя от неопытного, последний будет не раздумывая переходить по ссылкам и загружать оттуда любое содержимое.
То же касается и спам-рассылок: опытный пользователь знает, к чему приводят подобные сообщения, и не будет открывать прикрепленные документы, заполнять какие-то анкеты, переводить куда-то деньги и т.д. Однако наивные или падкие на легкую наживу люди, увидев громкий заголовок или яркую картинку, без сомнений перейдут по ссылке.
Источник угрозы
Основным генератором нежелательного контента является киберкриминальный бизнес. Киберпреступники зарабатывают деньги на вредоносных программах и результатах их работы, а также на злонамеренных или рекламных рассылках.
Анализ риска
От вредоносных и потенциально нежелательных программ помогают защититься комплексные антивирусные средства (для дома — класс Internet Security, для компаний — Endpoint Protection). Существуют и узкоспециализированные решения. Такое программное обеспечение обычно работает на основе сигнатурных баз, которые постоянно обновляются, что позволяет обнаруживать новые виды угроз. Необходимо помнить, что само по себе наличие антивирусной защиты не сможет предотвратить заражение компьютерной системы, если пользователь не будет соблюдать правила безопасности. Для этого нужны знания об основных механизмах работы вредоносных программ.
В некоторых продуктах для личной и корпоративной безопасности доступна т.н. «песочница» — средство запуска приложений в изолированной среде, откуда невозможно нанести вред операционной системе и данным. Такой модуль полезен для борьбы с неизвестными угрозами. Кроме того, в нем можно провести пробную установку нового программного обеспечения, чтобы проверить, не инсталлирует ли оно вместе с собой рекламные компоненты и иную лишнюю нагрузку.
Для защиты от спам-рассылок используют антиспам-фильтрацию и черные списки. Эти способы доступны и позволяют если не полностью обезопасить себя от спама, то по крайней мере значительно уменьшить его объемы. Фильтрация применяется также и для того, чтобы предотвратить посещение нежелательных веб-ресурсов. Как правило, подобные компоненты тоже входят в состав комплексных антивирусных решений.
Ошибка «Небезопасный контент заблокирован» (РЕШЕНО)
На своём сайте, или на других сайтах, которые вы посещаете, вы можете увидеть предупреждения вроде таких (в Google Chrome):
В зависимости от браузера предупреждение может выглядеть так:
В браузере от Windows:
Ну и в браузере Opera так:
Если вы обычный посетитель, то возникает сразу несколько вопросов:
Если вы ещё и веб-мастер, то вам нужно решить вопрос об исправлении этой проблемы.
Что такое заблокированный небезопасный контент
Суть этой ошибки в том, что страница, которую вы просматриваете, передаётся по HTTPS протоколу. То есть вы с неё загружаете информацию по зашифрованному соединению. Но некоторые части этой страницы используют обычный протокол HTTP, при котором данные передаются в незашифрованном виде.
Отсюда первое следствие: если страница изначально использует HTTP, то там не может возникнуть эта ошибка.
Среди «небезопасного содержимого, контента» могут быть:
Если вы увидели это сообщение на небольшом сайте, то оно может просто означать, что веб-мастер перевёл свой сайт на защищённый протокол HTTPS, но что-то недоделал. Поэтому если вы не вводите важных данных, то в принципе, на такой странице можно включить «небезопасный контент». Хотя если страница отображается нормально, картинки показываются, то можно просто проигнорировать это сообщение.
Что касается сайтов, на которых вы вводите свои данные (пароль, номера банковских карт и тому подобное), то там не должна возникать эта ошибка, особенно если сайт крупный. То есть в этих случаях категорически не рекомендуется включать содержимое, передаваемое через небезопасное подключение.
Как исправить ошибку со смешенным содержимым (Mixed Content)
Этот раздел для владельцев сайтов, которым нужно исправить эту проблему.
Если вы запустили свой сайт изначально на HTTP и уже добавили несколько статей, то в них ссылки на изображения будут с HTTP протоколом. В то время как в новых статья, написанных после перехода на HTTPS, ссылки будут уже с HTTPS. То есть получается, что старые статьи нужно немного подправить вручную или автоматически с помощью выполнения соответствующего запроса к базе денных. Но для сайтов на WordPress есть ещё более простой вариант — плагин SSL Insecure Content Fixer.
Установите и активируйте его, после этого будут доступны следующие основные настройки:
Выключено
Небезопасное содержимое не исправляется
Простой
Самый быстрый метод с наименьшим воздействием на производительность сайта
Содержимое
Всё, что делает Простой, плюс:
Виджеты
Всё, что делает режим Содержимое, плюс:
Режим захвата
Всё на странице, от заголовка до подвала:
Захватить всё
Самая высокая возможность что-то поломать, но иногда необходимо
Вы можете выбрать уровень исправления. Попробуйте сначала Простой, он менее влияет на производительность сайта. Если ошибка по-прежнему осталась, то последовательно переключайтесь на более охватывающие уровни.
В принципе, если изначально поднимать новый сайт на WordPress с использованием HTTPS, то такая ошибка не должна возникать. Но именно с этим я столкнулся: смешенное содержимое на сайте, который изначально был создан на HTTPS.
Далее инструкция под Google Chrome, но в других браузерах это должно делаться аналогично, либо откройте ваш сайт в Chrome. Для выяснения причин, какие именно файлы пытаются загрузиться по небезопасному протоколу, нажмите F12 и переключитесь на вкладку Console (консоль):
Найдите там строки с Mixed Content:
Строки, которые начинаются с (index) означают, что ошибка присутствует в исходном HTML коде (а не в построенной на лету DOM-модели).
Как можно убедиться, идёт попытка загрузить шрифты с http://fonts.googleapis.com. Откройте исходный код веб-страницы (Ctrl+u) и найдите там место, где стоят ссылки на этот файл. В моём случае, это шапка. Я посмотрел код шапки и файл с функциями темы, а также все другие файлы в редакторе исходного кода в админке WordPress, но не нашёл никакого упоминания http://fonts.googleapis.com. Тогда я скачал файлы темы WordPress себе на диск (локальный компьютер), и используя поиск по содержимому файлов нашёл те файлы темы, которые приводят к ошибке:
В моём случае оказался виноват файл functions.php — повторюсь, во встроенном редакторе WordPress никаких упоминаний ссылки на шрифты я не видел.
Если кому-то интересно, на скриншоте Double Commander (бесплатный, с открытым исходным кодом, двухпанельный файловый менедежер, кроссплатформенный, заменитель Total Commander) — рекомендую!
Кстати если у вас (как и у меня) Linux, то можно использовать команду grep в следующем виде:
Например, у я распаковал файлы с темой в папку /home/mial/Downloads/7/, а найти мне нужно строку http://fonts.googleapis.com, тогда моя команда:
На текстовые файлы не обращаем внимания, а в файле functions.php я подправил http://fonts.googleapis.com на https://fonts.googleapis.com. В результате проблема со смешенным контентом исчезла.
Бесплатный SSL сертификат для субдоменов и кириллистических доменов
Кстати про переход на HTTPS. Сейчас уже необязательно платить довольно большие деньги за SSL сертификат. Многие хостеры предоставляют возможность бесплатного подключения SSL. Причём, уже даже отсутствуют ограничения (по крайней мере у некоторых): можно получить SSL сертификат для домена написанного русскими буквами и для всех субдоменов. Причём и получение, и подключение к сайту, и последующие продления выполняются на полном автомате. У моего хостера, где я держу свои сайты именно так.
После подключения SSL сертификата вам достаточно в корневой папке сайта в файле .htaccess добавить строки:
Они нужны для того, чтобы происходила переадресация с HTTP на HTTPS версию сайта.
Небезопасный контент заблокирован. Исправляем проблему на сайте WordPress.
Привет, Веб-Мастер! Настроил SSL-сертификат, но столкнулся с проблемой, что браузеры ругаются на твой сайт и блокируют контент?
Не переживай, сейчас поправим и небезопасный контент будет разблокирован на 100%!
Как выглядит ошибка в браузерах
Данная ошибка по-разному показывается в различных браузерах, но корень проблемы у нее один — неверно передается контент по HTTPS-протоколу.
Небезопасный контент заблокирован
Страница пытается загрузить скрипты из непроверенных источников.
В Opera ошибка выглядит таким образом:
Заблокирован небезопасный контент
Opera заблокировала на странице контент из небезопасных источников.
В Mozilla Firefox эта проблема отображается так:
Firefox заблокировал незащищенные части этой страницы.
В стандартном от Windows 10 браузере Microsoft Edge ошибка будет такая:
Вы видите только безопасное содержимое.
Мы заблокировали содержимое, отправленное через небезопасное подключение, чтобы защитить вашу информацию.
Решение проблемы с небезопасным контентом с помощью плагина WordPress
Самый простой и быстрый способ исправить ошибку это поставить легкий плагин SSL Insecure Content Fixer. Он не мешает загрузке страницы, что хорошо скажется на скорости, а так же не требует сложных настроек, что является несомненно большим плюсом.
Плагин имеет всего несколько настроек:
Я рекомендую сначала поставить галочку на «Простой» способ. С вероятностью в 98% это решит проблему. Если вдруг не сработало, пробуем по очереди разные варианты. Так же рекомендую снять галочку с «WooCommerce + Google Chrome HTTP_HTTPS ошибки» если вы не используете WooCommerce у себя на сайте. Все остальные настройки по-умолчанию.
Исправляем ошибку с блокировкой небезопасного контента вручную в файлах своего сайта
Для тех, кто не любит использовать плагины (что странно, не?) вот метод ручного решения.
Необходимо вручную в файлах своей темы убрать ссылки по http-протоколу на элементы, которые являются частью страницы, т.е. ссылки на шрифты, скрипты, картинки и т.д.
Пример: очень часто встречается загрузка скрипта AJAX от Google через http протокол http://ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js.
Второй распространенный пример с разметкой Schema.org — http://schema.org/BlogPosting или http://schema.org/WPHeader и т.д.
Так же очень частая проблема возникает после перехода сайта с http на https, в процессе ссылки на картинки остаются по незащищенному протоколу.
В итоге просто просматриваем файлы темы c поиском (ctrl+F) на предмет в коде ссылок с http:// — рекомендую именно так и вбивать в поиск, иначе если вбить просто http, то поиск найдет и правильные ссылки https, что замедлит вашу работу. Чаще всего искать нужно в файле functions.php и в файлах в папке include.
Важно. Перед внесением изменений сделайте бэкап файлов и базы данных!
Как правило, этого бывает достаточно. Но данный способ достаточно долгий и требует некоторых навыков работы с кодом. Так же из минусов — после обновления темы, все изменения слетят и придется заново проделывать туже процедуру, либо необходимо использовать дочернюю тему.
Я рекомендую все-таки решать проблему с помощью специального плагина. Это просто и быстро.