একটি সুরক্ষিত HTTPS সংযোগের মাধ্যমে প্রাথমিক HTML লোড করা হলে মিশ্র বিষয়বস্তু ঘটে, কিন্তু অন্যান্য সংস্থানগুলি (যেমন চিত্র, ভিডিও, স্টাইলশীট, স্ক্রিপ্ট) একটি অনিরাপদ HTTP সংযোগের মাধ্যমে লোড করা হয়। একে মিশ্র বিষয়বস্তু বলা হয় কারণ HTTP এবং HTTPS উভয় সামগ্রীই একই পৃষ্ঠা প্রদর্শনের জন্য লোড করা হচ্ছে এবং প্রাথমিক অনুরোধটি HTTPS-এর উপর সুরক্ষিত ছিল।
অনিরাপদ এইচটিটিপি প্রোটোকল ব্যবহার করে সাবরিসোর্সগুলির অনুরোধ করা সমগ্র পৃষ্ঠার নিরাপত্তাকে দুর্বল করে, কারণ এই অনুরোধগুলি অন-পাথ আক্রমণের জন্য ঝুঁকিপূর্ণ, যেখানে একজন আক্রমণকারী একটি নেটওয়ার্ক সংযোগে লুকিয়ে পড়ে এবং দুটি পক্ষের মধ্যে যোগাযোগ দেখে বা পরিবর্তন করে। এই সংস্থানগুলি ব্যবহার করে, আক্রমণকারীরা ব্যবহারকারীদের ট্র্যাক করতে পারে এবং একটি ওয়েবসাইটে সামগ্রী প্রতিস্থাপন করতে পারে এবং সক্রিয় মিশ্র সামগ্রীর ক্ষেত্রে, শুধুমাত্র অনিরাপদ সংস্থান নয়, পৃষ্ঠার উপর সম্পূর্ণ নিয়ন্ত্রণ নিতে পারে।
যদিও অনেক ব্রাউজার ব্যবহারকারীর কাছে মিশ্র বিষয়বস্তুর সতর্কতা রিপোর্ট করে, এটি হওয়ার সময় অনেক দেরি হয়ে গেছে: অনিরাপদ অনুরোধগুলি ইতিমধ্যেই সম্পাদিত হয়েছে এবং পৃষ্ঠার নিরাপত্তার সাথে আপোস করা হয়েছে।
এই কারণেই ব্রাউজারগুলি ক্রমবর্ধমান মিশ্র সামগ্রী ব্লক করছে। আপনার সাইটে যদি মিশ্র সামগ্রী থাকে, তাহলে এটি ঠিক করা নিশ্চিত করবে যে ব্রাউজারগুলি আরও কঠোর হওয়ার সাথে সাথে সামগ্রীটি লোড হতে থাকবে।
দুই ধরনের মিশ্র বিষয়বস্তু
দুই ধরনের মিশ্র বিষয়বস্তু হল: সক্রিয় এবং প্যাসিভ।
প্যাসিভ মিক্সড কন্টেন্ট বলতে বোঝায় এমন কন্টেন্ট যা পৃষ্ঠার বাকি অংশের সাথে ইন্টারঅ্যাক্ট করে না এবং এইভাবে ম্যান-ইন-দ্য-মিডল অ্যাটাক সীমাবদ্ধ থাকে যে তারা যদি সেই কন্টেন্ট আটকায় বা পরিবর্তন করে তাহলে তারা কী করতে পারে। প্যাসিভ মিশ্র সামগ্রীকে চিত্র, ভিডিও এবং অডিও সামগ্রী হিসাবে সংজ্ঞায়িত করা হয়।
সক্রিয় মিশ্র বিষয়বস্তু সমগ্র পৃষ্ঠার সাথে ইন্টারঅ্যাক্ট করে এবং একজন আক্রমণকারীকে পৃষ্ঠার সাথে প্রায় সবকিছু করতে দেয়। সক্রিয় মিশ্র সামগ্রীর মধ্যে স্ক্রিপ্ট, স্টাইলশীট, আইফ্রেম এবং অন্যান্য কোড রয়েছে যা ব্রাউজার ডাউনলোড এবং কার্যকর করতে পারে।
প্যাসিভ মিশ্র বিষয়বস্তু
প্যাসিভ মিশ্র কন্টেন্ট কম সমস্যাযুক্ত হিসাবে দেখা হয় তবুও আপনার সাইট এবং আপনার ব্যবহারকারীদের জন্য একটি নিরাপত্তা হুমকি তৈরি করে। উদাহরণস্বরূপ, একজন আক্রমণকারী আপনার সাইটের চিত্রগুলির জন্য HTTP অনুরোধগুলিকে বাধা দিতে পারে এবং এই চিত্রগুলিকে অদলবদল বা প্রতিস্থাপন করতে পারে; আক্রমণকারী সেভ এবং ডিলিট বোতাম ইমেজগুলিকে অদলবদল করতে পারে, যার ফলে আপনার ব্যবহারকারীরা ইচ্ছা না করেই সামগ্রী মুছে ফেলতে পারে; আপনার পণ্যের চিত্রগুলিকে অশ্লীল বা অশ্লীল বিষয়বস্তু দিয়ে প্রতিস্থাপন করুন, আপনার সাইটকে বিকৃত করুন; অথবা একটি ভিন্ন সাইট বা পণ্যের বিজ্ঞাপন দিয়ে আপনার পণ্যের ছবি প্রতিস্থাপন করুন।
এমনকি আক্রমণকারী আপনার সাইটের বিষয়বস্তু পরিবর্তন না করলেও, একজন আক্রমণকারী মিশ্র সামগ্রীর অনুরোধের মাধ্যমে ব্যবহারকারীদের ট্র্যাক করতে পারে। ব্রাউজার লোড করা ছবি বা অন্যান্য সংস্থানগুলির উপর ভিত্তি করে আক্রমণকারী বলতে পারে কোন ব্যবহারকারী কোন পৃষ্ঠাগুলি দেখেন এবং কোন পণ্যগুলি দেখেন৷
যদি প্যাসিভ মিশ্র বিষয়বস্তু উপস্থিত থাকে তবে বেশিরভাগ ব্রাউজার URL বারে নির্দেশ করবে যে পৃষ্ঠাটি নিরাপদ নয়, এমনকি যখন পৃষ্ঠাটি নিজেই HTTPS-এর মাধ্যমে লোড করা হয়েছিল। আপনি প্যাসিভ মিশ্র বিষয়বস্তুর উদাহরণ ধারণ করে এই ডেমো দিয়ে এই আচরণটি পর্যবেক্ষণ করতে পারেন।
সম্প্রতি অবধি প্যাসিভ মিশ্র সামগ্রী সমস্ত ব্রাউজারে লোড করা হয়েছিল, কারণ এটি ব্লক করলে অনেক ওয়েবসাইট ভেঙে যেত। এটি এখন পরিবর্তিত হতে শুরু করেছে এবং তাই আপনার সাইটে মিশ্র বিষয়বস্তুর যেকোনো ঘটনা আপডেট করা অত্যাবশ্যক।
Chrome বর্তমানে যেখানে সম্ভব প্যাসিভ মিশ্র সামগ্রীর স্বয়ংক্রিয় আপগ্রেডিং চালু করছে ৷ স্বয়ংক্রিয় আপগ্রেড করার অর্থ হল যে যদি সম্পদটি HTTPS-এ উপলব্ধ থাকে, কিন্তু HTTP হিসাবে হার্ডকোড করা হয়, ব্রাউজারটি HTTPS সংস্করণ লোড করবে। কোনো নিরাপদ সংস্করণ পাওয়া না গেলে সম্পদ লোড হবে না।
যখনই এটি মিশ্র বিষয়বস্তু শনাক্ত করে বা প্যাসিভ মিশ্র সামগ্রী স্বয়ংক্রিয়ভাবে আপগ্রেড করে, তখন নির্দিষ্ট সমস্যাটি কীভাবে সমাধান করা যায় সে সম্পর্কে আপনাকে গাইড করার জন্য Chrome DevTools-এর সমস্যা ট্যাবে বিস্তারিত বার্তা লগ করে।
সক্রিয় মিশ্র বিষয়বস্তু
অ্যাক্টিভ মিশ্র কন্টেন্ট প্যাসিভ মিশ্র কন্টেন্টের চেয়ে বড় হুমকি। একজন আক্রমণকারী সক্রিয় বিষয়বস্তুকে আটকাতে এবং পুনরায় লিখতে পারে, যার ফলে আপনার পৃষ্ঠা বা এমনকি আপনার সম্পূর্ণ ওয়েবসাইটের সম্পূর্ণ নিয়ন্ত্রণ নিতে পারে। এটি আক্রমণকারীকে সম্পূর্ণ ভিন্ন বিষয়বস্তু প্রদর্শন, ব্যবহারকারীর পাসওয়ার্ড বা অন্যান্য লগইন শংসাপত্র চুরি করা, ব্যবহারকারীর সেশন কুকিজ চুরি করা, বা ব্যবহারকারীকে সম্পূর্ণ ভিন্ন সাইটে পুনঃনির্দেশিত করা সহ পৃষ্ঠা সম্পর্কে যেকোনো কিছু পরিবর্তন করতে দেয়৷
এই হুমকির তীব্রতার কারণে, বেশিরভাগ ব্রাউজার ব্যবহারকারীদের সুরক্ষার জন্য ডিফল্টরূপে এই ধরনের সামগ্রী ইতিমধ্যেই ব্লক করে, কিন্তু কার্যকারিতা ব্রাউজার বিক্রেতা এবং সংস্করণগুলির মধ্যে পরিবর্তিত হয়।
এই অন্য ডেমোতে সক্রিয় মিশ্র সামগ্রীর উদাহরণ রয়েছে। আপনি HTTPS-এ উদাহরণ লোড করার সময় ব্লক করা বিষয়বস্তু দেখতে HTTP-তে উদাহরণ লোড করুন । সমস্যা ট্যাবে ব্লক করা কন্টেন্টের বিস্তারিত বিবরণ দেওয়া হবে।
মিশ্র বিষয়বস্তু স্পেসিফিকেশন
ব্রাউজারগুলি মিশ্র বিষয়বস্তুর স্পেসিফিকেশন অনুসরণ করে, যা ঐচ্ছিকভাবে ব্লকযোগ্য বিষয়বস্তু এবং ব্লকযোগ্য বিষয়বস্তু বিভাগগুলিকে সংজ্ঞায়িত করে।
বৈশিষ্ট্য থেকে, একটি সম্পদ ঐচ্ছিকভাবে ব্লকযোগ্য বিষয়বস্তু হিসাবে যোগ্যতা অর্জন করে "যখন মিশ্র বিষয়বস্তু হিসাবে এর ব্যবহারের অনুমতি দেওয়ার ঝুঁকি ওয়েবের উল্লেখযোগ্য অংশ ভাঙ্গার ঝুঁকির চেয়ে বেশি হয়"; এটি উপরে বর্ণিত প্যাসিভ মিশ্র বিষয়বস্তু বিভাগের একটি উপসেট।
ঐচ্ছিকভাবে ব্লক করা যায় না এমন সব কন্টেন্ট ব্লকযোগ্য বলে বিবেচিত হয় এবং ব্রাউজার দ্বারা ব্লক করা উচিত।
সাম্প্রতিক বছরগুলিতে, HTTPS ব্যবহার নাটকীয়ভাবে বেড়েছে এবং ওয়েবে স্পষ্ট ডিফল্ট হয়ে উঠেছে। এটি এখন ব্রাউজারদের জন্য সমস্ত মিশ্র বিষয়বস্তু ব্লক করা বিবেচনা করা আরও সম্ভবপর করে তোলে, এমনকি মিশ্র সামগ্রীর স্পেসিফিকেশনে ঐচ্ছিকভাবে ব্লকযোগ্য হিসাবে সংজ্ঞায়িত সেই সাবরিসোর্স প্রকারগুলিও। এই কারণেই আমরা এখন দেখছি ক্রোম এই সাবরিসোর্সগুলির জন্য একটি কঠোর পন্থা গ্রহণ করছে।
পুরানো ব্রাউজার
এটা মনে রাখা গুরুত্বপূর্ণ যে আপনার ওয়েবসাইটের প্রত্যেক দর্শক সবচেয়ে আপ-টু-ডেট ব্রাউজার ব্যবহার করেন না। বিভিন্ন ব্রাউজার ভেন্ডরদের থেকে বিভিন্ন সংস্করণ প্রতিটি মিশ্র বিষয়বস্তুকে ভিন্নভাবে ব্যবহার করে। সবচেয়ে খারাপভাবে, পুরানো ব্রাউজার এবং সংস্করণগুলি কোনও মিশ্র সামগ্রীকে একেবারেই ব্লক করে না, যা ব্যবহারকারীর জন্য খুব অনিরাপদ।
আপনার মিশ্র বিষয়বস্তুর সমস্যার সমাধান করে আপনি নিশ্চিত করেন যে আপনার সামগ্রী নতুন ব্রাউজারে দৃশ্যমান। এছাড়াও আপনি ব্যবহারকারীদের বিপজ্জনক বিষয়বস্তু থেকে রক্ষা করতে সাহায্য করেন যা পুরানো ব্রাউজার দ্বারা অবরুদ্ধ নয়।