هر ساله گوگل مجبور به سازگاری با مسائل امنیتی جدید است و مدتها است که Google Chrome در برخورد با Mixed Content محتاط عمل می کند. اما اخیرا تغییراتی در روند بررسی موارد امنیتی خود ایجاد کرده است، اکنون Chrome همه وب سایتهایی را که دارای Mixed Content هستند، مسدود می کند. در صورت عدم توجه به لینک های موجود در سایت، ممکن است این مشکل گریبان گیر شما نیز شود.
خوشبختانه چند روش آسان وجود دارد که می توانید از وبسایت خود محافظت کنید. البته برای این کار، باید دقیقاً بدانید که Mixed Content چیست و چگونه آن را بررسی کنید. در نهایت رفع این مشکل ساده خواهد بود.
Mixed Content چیست و چرا Google آن را مسدود می کند؟
اگر بر روی یک لینک کلیک کنید که شما را به یک وب سایت با خطای Mixed Content منتقل کند، در واقع ریسک کرده اید. به عبارت ساده، Mixed Content زمانی است که یک وب سایت اسکریپت های ایمن و ناایمن را به طور همزمان اجرا می کند.
اسکریپت های امن آنهایی هستند که از طریق پروتکل انتقال Hypertext یا HTTP منتقل می شوند. پروتکل انتقال (Hypertext (HTTPS راهی بسیار امن تر برای انتقال اطلاعات وب سایت ها فراهم می کند. بسیاری از سایت ها از HTTP به HTTPS منتقل شده اند، اما برخی از دارندگان سایت قادر به سوئیچ کامل از http به https نیستند و یا به صورت کامل اینکار را انجام نمی دهند و این کار منجر به خطای Mixed Content می شود.
بسیاری از مرورگرها به شما در مورد Mixed Content هشدار می دهند. علاوه بر این، Chrome شروع به مسدود کردن چنین محتواهایی به طور کامل می کند.
تصویر(1)
وقتی سایت شما دارای Mixed Content است، شما در برابر نقض امنیتی آسیب پذیرتر هستید و احتمالاً رتبه موتورهای جستجو پایین تری دارید و حتی ممکن است شاهد مسدود شدن سایت خود در Google Chrome نیز باشید.
ممکن است این کار یک دردسر به نظر برسد، اما برای حفظ امنیت امری ضروری است. هنگامی که حتی یک خط کد امن نباشد، ممکن است یک صفحه وب در معرض حمله قرار گیرد. بنابراین، برای بهبود تجربه کاربری ( Google Chrome ،(UX وب سایت های ناامن را نشان نمی دهد.
نحوه بررسی سایت شما برای Mixed Content
ممکن است ندانید که آیا سایت شما دارای Mixed Content است یا خیر، اما نگران نباشید. می توانید به سرعت با یک Secure Sockets Layer Checker (جستجوگر SSL) این مورد را بررسی کنید. این ابزار تأیید می کند که گواهینامه SSL در سایت شما به درستی نصب شده است و امنیت سایت شما برقرار است یا خیر.
چندین ابزار آنلاین وجود دارد که می توانند این کار را برای شما انجام دهند. پیشنهاد می شود از سایت های معتبر برای بررسی وضعیت SSL سایت خود استفاده کنید.
به عنوان مثال، mihanmonitor.com سایتی است که گواهی SSL شما را بررسی می کند:
تصویر(2)
از طرف دیگر می توانید از طریق لینک های زیر اقدام به تهیه SSL از شرکت میهن وب هاست به صورت رایگان (3 ماهه که در انتهای هر ماه به طور اتوماتیک تمدید می شود) و یک ساله غیر رایگان نمایید:
https://my.mihanwebhost.com/cart.php?gid=28
https://my.mihanwebhost.com/freessl.php
همچنین می توانید از ابزار observatory موزیلا نیز این مورد را بررسی کنید. این ابزار قابلیت بررسی جزئیات بیشتری را نیز دارد و به عنوان یک ابزار امنیتی اضافی در کنار سایر ابزارهای موجود جهت بالا بردن امنیت سایت، می توان از آن استفاده کرد:
تصویر(3)
هنگامی که سایت خود را به صورت کامل راه اندازی کردید، می توانید تست و بررسی خود را شروع کنید. در ادامه خواهید آموخت که چگونه می توانید لینک های دارای خطای Mixed Content را از وب سایت خود حذف کنید.
3 اقدامی که می توانید برای از بین بردن Mixed Content از وب سایت خود استفاده کنید
اگر Mixed Content را در وب سایت خود کشف کردید، نگران نباشید. روش هایی وجود دارد که می توانید آنها را حذف کنید و مطمئن شوید سایت شما در موتورهای جستجو قابل مشاهده است. با چند ترفند، وب سایت شما می تواند در هر زمان امن باشد.
مرحله 1: یک گواهی SSL نصب کنید
برخی از ارائه دهندگان هاست گواهینامه SSL را به همراه سرویس شما ارائه میدهند، ولی این مورد برای همگان به صورت پیش فرض انجام نمی شود. اگر هنوز گواهی SSL را بر روی سرویس خود نصب نکرده اید، باید بدانید که این کار حیاتی است. گواهینامه SSL، یک لایه محافظت اضافی را برای شما و بازدید کنندگان سایت شما ایجاد می کند و همان چیزی است که سایت شما را قادر می سازد از طریق HTTPS فعال باشد.
میهن وب هاست SSL رایگان را در تمامی هاست های میزبانی وب خود ارائه می کند و کاربران تنها با یک کلیک می توانند سایت خود را به گواهینامه SSL مجهز کنند.
سایت های بسیاری برای دریافت گواهینامه SSL وجود دارد. با این حال ابتدا با گزینه هایی که در دسترس شما است آشنا شوید. سه نوع اصلی عبارتند از:
- اعتبارسنجی دامنه (DV)
- اعتبار سنجی سازمان (OV)
- اعتبار سنجی تمدید (EV)
دریافت گواهینامه های DV ساده ترین و سریعترین گزینه است، اما پایین ترین سطح امنیتی را ارائه می دهد. گواهینامه های OV یک گزینه میانی قوی هستند، دریافت گواهینامه EV قدری زمانبر و نیاز به ارسال مدارک جهت تایید هویت مدیر سایت و کسب و کار شما دارد اما انتخاب خوبی برای سایت های بزرگ و تجاری است.
بعد از اینکه یک گواهی خریداری کردید، باید آن را نصب و فعال کنید. نحوه انجام این کار بستگی به ارائه دهنده سرویس و پلتفرم مورد استفاده شما دارد. در صورتیکه گواهینامه SSL را از میهن وب هاست خریداری کنید نصب و فعالسازی آن توسط تیم پشتیبانی انجام می شود.
جهت کسب اطلاعات بیشتر در مورد SSL اینجا کلیک نمایید
مرحله 2: حذف لینک های HTTP از وب سایت خود
همانطور که قبلاً نیز اشاره شده است، بیشتر سایتها از طریق پروتکل HTTP یا HTTPS فعال می شوند. HTTPS امکان رمزگذاری را فراهم می کند و لایه ای از ایمنی را به وب سایت شما اضافه می نماید.
حتی اگر سایت شما به یک منبع خارجی که حاوی لینک HTTP مانند یک عکس است، درحال لینک شدن باشد، وب سایت شما برای حملات احتمالی باز خواهد بود. همین امر بازدیدکنندگان وب سایت شما را در معرض خطر قرار می دهد.
یکی از روش های رفع این مشکل استفاده از ابزارهای موجود در مرورگر است، برای مثال کافیست مرورگر گوگل کروم را باز کرده و سایت خود را اجرا کنید و سپس از روی صفحه کلید خود کلید F12 را بفشارید.
مرحله 3: یک تغییر مسیر 301 را در Boost Security تنظیم کنید
اگر وب سایت خود را از HTTP به HTTPS به روز کرده اید، ممکن است بخواهید یک تغییر مسیر 301 را در انجام دهید. این نوع تغییر مسیر به طور دائم کاربران را از یک دامنه به دامنه دیگر ارجاع می دهید.
اگر تصمیم به انجام این کار نگرفتید، ممکن است برخی از بازدیدکنندگان سایت را از دست بدهید. برای اطمینان از اینکه همه بازدیدکنندگان به نسخه HTTPS سایت شما هدایت می شوند، از طریق پروتکل انتقال فایل (FTP) به پرونده htaccess خود دسترسی پیدا کنید. سپس خط زیر را در انتهای کد پرونده اضافه کنید:
فراموش نکنید که مکان نگهدارنده را با دامنه سایت خود جایگزین کنید. سپس پرونده را ذخیره و دوباره بارگذاری کنید، تغییر مسیر شما آماده خواهد بود.
نتیجه گیری Mixed Content
مسدود کردن وب سایت شما توسط Google چشم انداز نگران کننده ای دارد. خبر خوب این است که اگر سایت شما به دلیل Mixed Content در معرض خطر قرار گرفته است، اقدامات ساده ای می توانید برای رفع آن انجام دهید.
روش های زیر اقدامات لازم جهت رفع Mixed Content می باشد :
- گواهینامه SSL خود را نصب یا به روز کنید.
- لینک های نا امن را حذف کنید.
- یک تغییر مسیر دائمی تنظیم کنید.