Karma içerik nedir?

Karma içerik, ilk HTML'nin güvenli bir HTTPS bağlantısı üzerinden yüklenmesi ancak diğer kaynaklar (resimler, videolar, stil sayfaları, komut dosyaları gibi) güvenli olmayan bir HTTP bağlantısı üzerinden yüklenmesiyle ortaya çıkar. Hem HTTP hem de HTTPS içeriği aynı sayfayı görüntülemek üzere yüklendiğinden ve ilk istek HTTPS üzerinden güvenli olduğundan bu duruma karma içerik adı verilir.

Güvenli olmayan HTTP protokolünü kullanarak alt kaynak isteğinde bulunmak, tüm sayfanın güvenliğini zayıflatır. Çünkü bu istekler, bir saldırganın ağ bağlantısını gizlice dinlemesi ve iki taraf arasındaki iletişimi görüntüleyip değiştirmesiyle ilgili yol saldırılarına karşı savunmasızdır. Saldırganlar bu kaynakları kullanarak kullanıcıları takip edebilir ve bir web sitesindeki içeriği değiştirebilir. Etkin karma içerik söz konusu olduğunda ise yalnızca güvenli olmayan kaynakları değil, sayfanın da tam kontrolünü ele geçirebilirler.

Birçok tarayıcı kullanıcıya karma içerik uyarıları bildirse de, bu durum olduğunda artık çok geç: Güvenli olmayan istekler zaten gerçekleştirildi ve sayfanın güvenliği ihlal edildi.

Tarayıcıların karma içeriği giderek daha fazla engellemesinin nedeni budur. Sitenizde karma içerik varsa bunu düzeltmek, tarayıcılar daha katı hale geldikçe içeriğin yüklenmeye devam etmesini sağlar.

İki karma içerik türü

İki karma içerik türü şunlardır: aktif ve pasif.

Pasif karma içerik, sayfanın geri kalanıyla etkileşimde bulunmayan içeriği belirtir ve bu nedenle ortadaki adam saldırısı, içeriğin müdahale edilmesi veya değiştirilmesi durumunda yapabilecekleriyle sınırlıdır. Pasif karma içerik; resim, video ve ses içeriği olarak tanımlanır.

Etkin karma içerik, sayfayla bir bütün olarak etkileşim kurar ve bir saldırganın sayfayla hemen hemen her şeyi yapmasına olanak tanır. Etkin karma içerik arasında komut dosyaları, stil sayfaları, iframe'ler ve tarayıcının indirip çalıştırabileceği diğer kodlar yer alır.

Pasif karma içerik

Pasif karma içerik daha az sorunlu olarak görünür ancak siteniz ve kullanıcılarınız için bir güvenlik tehdidi oluşturmaya devam eder. Örneğin, bir saldırgan, sitenizdeki resimler için yapılan HTTP isteklerine müdahale ederek bu resimleri değiştirebilir veya değiştirebilir; saldırgan, kaydet ve sil düğmesi resimlerini değiştirebilir ve kullanıcılarınızın amacı dışında içeriği silmesine neden olabilir; ürün şemalarınızı açık saçık ya da pornografik içerikle değiştirebilir veya sitenize zarar verebilir ya da ürün resimlerinizi farklı bir site veya ürüne ait reklamlarla değiştirebilir.

Saldırgan, sitenizin içeriğini değiştirmese bile karma içerik istekleriyle kullanıcıları takip edebilir. Saldırgan, tarayıcının yüklediği resimlere veya diğer kaynaklara bakarak bir kullanıcının hangi sayfaları ziyaret ettiğini ve hangi ürünleri görüntülediğini anlayabilir.

Pasif karma içerik mevcutsa çoğu tarayıcı, sayfanın kendisi HTTPS üzerinden yüklense bile URL çubuğunda sayfanın güvenli olmadığını belirtir. Pasif karma içerik örnekleri içeren bu demo ile bu davranışı gözlemleyebilirsiniz.

Kısa bir süre öncesine kadar tüm tarayıcılara pasif karma içerik yükleniyordu, çünkü bunun engellenmesi birçok web sitesini bozacaktı. Bu durum artık değişmeye başlıyor. Bu nedenle, sitenizdeki karma içerik örneklerini güncellemek büyük önem taşır.

Chrome şu anda mümkün olduğunda pasif karma içeriğin otomatik olarak yeni sürüme geçirilmesini başlatmaktadır. Otomatik yükseltme, öğe HTTPS üzerinden kullanılabiliyorsa ancak kodu HTTP olarak kodlanmışsa tarayıcının HTTPS sürümünü yükleyeceğini belirtir. Güvenli bir sürüm bulunamazsa öğe yüklenmez.

Karma içerik algıladığında veya pasif karma içeriği otomatik olarak yükselttiğinde Chrome, bu sorunu nasıl gidereceğiniz konusunda size yol göstermek için ayrıntılı mesajları Geliştirici Araçları'ndaki Sorunlar sekmesine kaydeder.

Chrome Geliştirici Araçları'ndaki Sorunlar sekmesi, belirli karma içerik sorunu ve nasıl düzeltileceği hakkında ayrıntılı bilgiler gösterir.

Etkin karma içerik

Etkin karma içerik, pasif karma içerikten daha büyük bir tehdittir. Bir saldırgan, etkin içeriğe müdahale edip yeniden yazabilir. Böylece sayfanızın, hatta web sitenizin tamamının kontrolünü ele geçirebilir. Bu, saldırganın tamamen farklı içerik görüntülemek, kullanıcı şifrelerini veya diğer giriş kimlik bilgilerini çalmak, kullanıcı oturumu çerezlerini çalmak veya kullanıcıyı tamamen farklı bir siteye yönlendirmek de dahil olmak üzere sayfayla ilgili her şeyi değiştirmesine imkan tanır.

Bu tehdidin ciddiyeti nedeniyle çoğu tarayıcı, kullanıcıları korumak amacıyla bu içerik türünü zaten varsayılan olarak engellese de tarayıcı tedarikçi firmalarına ve sürümlerine göre işlevsellik değişiklik gösterir.

Bu diğer demoda, etkin karma içerik örnekleri bulunmaktadır. Örneği HTTPS üzerinden yüklediğinizde engellenen içeriği görmek için örneği HTTP üzerinden yükleyin. Engellenen içerikler Sorunlar sekmesinde de ayrıntılı olarak açıklanır.

Chrome Geliştirici Araçları'ndaki Sorunlar sekmesi, belirli karma içerik sorunu ve nasıl düzeltileceği hakkında ayrıntılı bilgiler gösterir.

Karma içerik spesifikasyonu

Tarayıcılar, isteğe bağlı olarak engellenebilir içerik ve engellenebilir içerik kategorilerini tanımlayan karma içerik spesifikasyonuna uyar.

Spesifikasyona göre, bir kaynak "karma içeriğin kullanılmasına izin verme riski, web'in önemli bölümlerini kırma riskinden ağır bastığında", "isteğe bağlı olarak engellenebilir içerik" olarak nitelendirilir. Bu, yukarıda açıklanan pasif karma içerik kategorisinin bir alt kümesidir.

İsteğe bağlı olarak engellenebilir olmayan tüm içerikler engellenebilir olarak kabul edilir ve tarayıcı tarafından engellenmelidir.

Son yıllarda HTTPS kullanımı önemli ölçüde yükseldi ve web'de açıkça görülen varsayılan haline geldi. Bu, karma içerik spesifikasyonunda isteğe bağlı olarak engellenebilir olarak tanımlanmış alt kaynak türleri de dahil olmak üzere, tarayıcıların tüm karma içeriği engellemeyi değerlendirmesini artık daha uygun hale getirmektedir. Bu nedenle artık Chrome'un bu alt kaynaklar konusunda daha katı bir yaklaşım benimsediğini görüyoruz.

Eski tarayıcılar

Web sitenize gelen her ziyaretçinin en güncel tarayıcıları kullanmadığını unutmamanız önemlidir. Farklı tarayıcı tedarikçilerinin farklı sürümlerinde, her biri karışık içeriği farklı şekilde ele alır. En kötüsü, eski tarayıcılar ve sürümler, karma içeriği hiç engellemez. Bu, kullanıcı için çok güvenli değildir.

Karma içerik sorunlarınızı çözerek, içeriğinizin yeni tarayıcılarda görünür olmasını sağlarsınız. Ayrıca, kullanıcıların, eski tarayıcılar tarafından engellenmeyen tehlikeli içeriklerden korunmasına da yardımcı olursunuz.