मिला-जुला कॉन्टेंट क्या होता है?

मिक्स कॉन्टेंट तब होता है, जब शुरुआती एचटीएमएल को किसी सुरक्षित एचटीटीपीएस कनेक्शन पर लोड किया जाता है. हालांकि, दूसरे रिसॉर्स (जैसे, इमेज, वीडियो, स्टाइलशीट, स्क्रिप्ट) असुरक्षित एचटीटीपी कनेक्शन पर लोड होते हैं. इसे मिक्स कॉन्टेंट कहा जाता है, क्योंकि एक ही पेज को दिखाने के लिए एचटीटीपी और एचटीटीपीएस, दोनों कॉन्टेंट लोड किए जाते हैं और शुरुआती अनुरोध एचटीटीपीएस पर सुरक्षित था.

असुरक्षित एचटीटीपी प्रोटोकॉल का इस्तेमाल करके सबरिसॉर्स के लिए अनुरोध करने से पूरे पेज की सुरक्षा कम हो जाती है. ऐसा इसलिए होता है, क्योंकि इन अनुरोधों पर पाथ के हमले का खतरा होता है. इसमें हमलावर, नेटवर्क कनेक्शन से छिपकर बातें करता है और दो पक्षों के बीच की बातचीत को देखता है या उसमें बदलाव करता है. इन संसाधनों का इस्तेमाल करके, हमलावर उपयोगकर्ताओं को ट्रैक कर सकते हैं और किसी वेबसाइट पर मौजूद कॉन्टेंट को बदल सकते हैं. साथ ही, मिला-जुला कॉन्टेंट इस्तेमाल करने के मामले में, वे सिर्फ़ असुरक्षित रिसॉर्स को ही नहीं, बल्कि पेज पर पूरा कंट्रोल कर सकते हैं.

हालांकि कई ब्राउज़र उपयोगकर्ता को मिश्रित सामग्री की चेतावनियों की रिपोर्ट करते हैं, लेकिन ऐसा होने तक, काफ़ी देर हो चुकी होती है: असुरक्षित अनुरोध पहले ही पूरे किए जा चुके होते हैं और पेज की सुरक्षा के साथ छेड़छाड़ की जा चुकी है.

यही वजह है कि ब्राउज़र, मिले-जुले कॉन्टेंट को लगातार ब्लॉक कर रहे हैं. अगर आपकी साइट पर मिला-जुला कॉन्टेंट है, तो उसे ठीक करने से ब्राउज़र के सख्त होने के साथ-साथ कॉन्टेंट लोड होता रहेगा.

मिला-जुला कॉन्टेंट दो तरह के होते हैं

मिले-जुले कॉन्टेंट के दो टाइप हैं: ऐक्टिव और पैसिव.

पैसिव मिक्स कॉन्टेंट का मतलब है ऐसा कॉन्टेंट जो पेज के बाकी हिस्से से इंटरैक्ट नहीं करता पैसिव मिक्स कॉन्टेंट को इमेज, वीडियो, और ऑडियो कॉन्टेंट के तौर पर परिभाषित किया गया है.

सक्रिय मिला-जुला कॉन्टेंट पूरे पेज के साथ इंटरैक्ट करता है. इसकी मदद से, हमलावर पेज पर कुछ भी कर सकता है. सक्रिय मिले-जुले कॉन्टेंट में स्क्रिप्ट, स्टाइलशीट, iframes और अन्य कोड शामिल होते हैं, जिन्हें ब्राउज़र डाउनलोड और एक्ज़ीक्यूट कर सकता है.

पैसिव मिक्स कॉन्टेंट

पैसिव मिक्स कॉन्टेंट को कम समस्या माना जाता है. हालांकि, यह अब भी आपकी साइट और आपके उपयोगकर्ताओं के लिए सुरक्षा के लिए खतरा बन सकता है. उदाहरण के लिए, कोई हमलावर आपकी साइट पर इमेज के एचटीटीपी अनुरोधों को बीच में रोक सकता है और उन इमेज की अदला-बदली कर सकता है या उन्हें बदल सकता है; हमलावर सेव करें और पोर्नोग्राफ़ी वाली इमेज मिटाएं बटन की अदला-बदली कर सकता है, जिससे आपके उपयोगकर्ता बिना चाहे कोई कॉन्टेंट मिटा सकते हैं; अपने प्रॉडक्ट डायग्राम को भद्दा या कॉन्टेंट से बदल सकते हैं, आपकी साइट को बदल सकते हैं या आपके प्रॉडक्ट की तस्वीरों को किसी दूसरी साइट या प्रॉडक्ट के विज्ञापन से बदल सकते हैं.

भले ही हमलावर आपकी साइट के कॉन्टेंट में बदलाव न करे, फिर भी हमलावर कई तरह के कॉन्टेंट के अनुरोधों की मदद से उपयोगकर्ताओं को ट्रैक कर सकता है. हमलावर, ब्राउज़र के लोड होने वाली इमेज या अन्य संसाधनों के आधार पर यह पता लगा सकता है कि उपयोगकर्ता किन पेजों पर जाता है और कौनसे प्रॉडक्ट देखता है.

अगर पैसिव मिक्स कॉन्टेंट मौजूद है, तो ज़्यादातर ब्राउज़र यूआरएल बार में दिखाएंगे कि पेज सुरक्षित नहीं है, भले ही पेज को एचटीटीपीएस पर लोड किया गया हो. इस डेमो में, इस्तेमाल न होने वाले मिले-जुले कॉन्टेंट के उदाहरण दिए गए हैं. इनकी मदद से, यह व्यवहार देखा जा सकता है.

हाल ही में सभी ब्राउज़र में पैसिव मिक्स कॉन्टेंट के लोड होने तक, इसे ब्लॉक करने से कई वेबसाइटें काम नहीं करतीं. अब इसमें बदलाव होना शुरू हो गया है. इसलिए, अपनी साइट पर मिले-जुले कॉन्टेंट के किसी भी इंस्टेंस को अपडेट करना ज़रूरी है.

Chrome फ़िलहाल, जहां मुमकिन हो वहां पैसिव मिक्स कॉन्टेंट को अपने-आप अपग्रेड करने की सुविधा लॉन्च की जा रही है. अपने-आप अपग्रेड होने की सुविधा का मतलब है कि अगर कोई ऐसेट एचटीटीपीएस पर उपलब्ध है, लेकिन उसे एचटीटीपी के तौर पर हार्डकोड किया गया है, तो ब्राउज़र एचटीटीपीएस वर्शन को लोड करेगा. सुरक्षित वर्शन न मिलने पर, एसेट लोड नहीं होगी.

जब भी Chrome को मिले-जुले कॉन्टेंट का पता चलता है या इस्तेमाल न किए जा सकने वाले मिले-जुले कॉन्टेंट को अपने-आप अपग्रेड किया जाता है, तो Chrome DevTools के समस्याएं टैब में ज़्यादा जानकारी वाले मैसेज लॉग करता है. इससे आपको किसी खास समस्या को ठीक करने का तरीका पता चलता है.

Chrome DevTools के 'समस्याएं' टैब में अलग-अलग तरह के कॉन्टेंट से जुड़ी खास समस्या के बारे में ज़्यादा जानकारी दिखती है और उसे ठीक करने के तरीके के बारे में भी जानकारी मिलती है

मिला-जुला ऐक्टिव कॉन्टेंट

पैसिव मिक्स कॉन्टेंट के मुकाबले, ऐक्टिव मिले-जुले कॉन्टेंट से ज़्यादा खतरा होता है. कोई हमलावर आपके ऐक्टिव कॉन्टेंट को देख सकता है और उसे दोबारा लिख सकता है. इससे वह आपके पेज या आपकी पूरी वेबसाइट का पूरा कंट्रोल हासिल कर सकता है. इससे हमलावर, पेज पर मौजूद कुछ भी बदलाव कर सकता है. जैसे, पूरी तरह से अलग कॉन्टेंट दिखाना, उपयोगकर्ता के पासवर्ड या अन्य लॉगिन क्रेडेंशियल चुराना, उपयोगकर्ता की सेशन कुकी चुराना या उपयोगकर्ता को पूरी तरह से किसी दूसरी साइट पर रीडायरेक्ट करना.

इस खतरे की गंभीरता की वजह से, ज़्यादातर ब्राउज़र उपयोगकर्ताओं की सुरक्षा के लिए, डिफ़ॉल्ट रूप से पहले ही इस तरह के कॉन्टेंट को ब्लॉक कर देते हैं. लेकिन ब्राउज़र के वेंडर और वर्शन के हिसाब से इसके काम करने के तरीके अलग-अलग होते हैं.

इस दूसरे डेमो में ऐसे मिले-जुले कॉन्टेंट के उदाहरण हैं जो चालू हैं. एचटीटीपीएस पर उदाहरण लोड करने पर, ब्लॉक किया गया कॉन्टेंट देखने के लिए, एचटीटीपी पर उदाहरण लोड करें. ब्लॉक किए गए कॉन्टेंट की जानकारी, समस्याएं टैब में भी मिलेगी.

Chrome DevTools के 'समस्याएं' टैब में अलग-अलग तरह के कॉन्टेंट से जुड़ी खास समस्या के बारे में ज़्यादा जानकारी दिखती है और उसे ठीक करने के तरीके के बारे में भी जानकारी मिलती है

मिले-जुले कॉन्टेंट की खास बातें

ब्राउज़र, मिक्स कॉन्टेंट की खास बातों का पालन करते हैं. इससे ब्लॉक किए जा सकने वाले कॉन्टेंट और ब्लॉक किए जा सकने वाले कॉन्टेंट की कैटगरी के बारे में बताया जाता है.

अगर जानकारी के हिसाब से देखा जाए, तो किसी संसाधन को ब्लॉक किया जा सकने वाला कॉन्टेंट माना जाता है, "जब अलग-अलग तरह के कॉन्टेंट के रूप में इसके इस्तेमाल की अनुमति देने का जोखिम, वेब के अहम हिस्सों के काम करने के जोखिम को कम कर दिया जाता है"; यह ऊपर बताई गई पैसिव मिक्स कॉन्टेंट कैटगरी का एक सबसेट है.

ऐसा कॉन्टेंट जिसे ब्लॉक नहीं किया जा सकता, उसे ब्लॉक किया जा सकने वाला माना जाता है. साथ ही, इस कॉन्टेंट को ब्राउज़र से ब्लॉक किया जाना चाहिए.

हाल के सालों में, एचटीटीपीएस का इस्तेमाल बहुत तेज़ी से बढ़ा है और यह वेब पर, डिफ़ॉल्ट रूप से दिखने लगा है. इससे अब ब्राउज़र के लिए सभी तरह के मिले-जुले कॉन्टेंट को ब्लॉक करना ज़्यादा आसान हो जाता है. यहां तक कि मिले-जुले कॉन्टेंट की खास बातों में बताए गए सबरिसॉर्स टाइप को वैकल्पिक तौर पर ब्लॉक किया जा सकने वाला भी माना जाता है. इसलिए, अब Chrome इन सबरिसॉर्स के लिए ज़्यादा सख्त तरीका अपना रहा है.

पुराने ब्राउज़र

ध्यान रखें कि आपकी वेबसाइट पर आने वाला हर व्यक्ति सबसे अप-टू-डेट ब्राउज़र का इस्तेमाल नहीं करता. अलग-अलग ब्राउज़र वेंडर के अलग-अलग वर्शन में, मिले-जुले कॉन्टेंट को अलग-अलग तरीके से दिखाया जाता है. सबसे बुरी बात यह है कि पुराने ब्राउज़र और वर्शन किसी भी तरह के मिले-जुले कॉन्टेंट को ब्लॉक नहीं करते, जो कि उपयोगकर्ता के लिए बहुत असुरक्षित है.

मिक्स कॉन्टेंट की समस्याओं को ठीक करके, यह पक्का किया जा सकता है कि आपका कॉन्टेंट नए ब्राउज़र में दिख रहा हो. इसके अलावा, उपयोगकर्ताओं को ऐसे खतरनाक कॉन्टेंट से भी बचाया जा सकता है जिन्हें पुराने ब्राउज़र ने ब्लॉक नहीं किया है.