¿Qué es el contenido mixto en una página web?

Comparte en tus redes...

Muchos webmaster que estamos cambiando del protocolo HTTP a HTTPS estamos sufriendo este problema, que en algunos casos se convierte realmente en un dolor de cabeza.

El contenido mixto tiene lugar cuando un HTML  se carga en una conexión HTTPS segura, pero otros recursos (normalmente imágenes, videos, hojas de estilo y secuencias de comandos) se cargan en una conexión HTTP insegura. Esto se denomina contenido mixto porque los contenidos HTTP y HTTPS se cargan de forma paralela, para mostrar la misma página y la solicitud inicial estaba segura en HTTPS.

El problema lo tenemos cuando los navegadores muestran advertencias sobre este tipo de contenido para indicarle al usuario que esta página contiene recursos inseguros, lo que causa un efecto muy negativo y tiene consecuencias inmediatas: muchos usuarios pueden desconfiar del sitio y no acceder o abandonarlo inmediatamente. 

 

Beneficios de HTTPS

Cuando un navegador solicita recursos en HTTPS; que significa HTTP seguro, usa una conexión encriptada para comunicarte con el servidor web.

El uso de HTTPS tiene tres beneficios principales:

  • Autenticación
    HTTPS permite que el navegador compruebe la apertura del sitio web correcto y que no se ha redireccionado a un sitio malicioso. Cuando visitas el sitio web de tu banco, tu navegador autentifica el sitio web, y evita que un atacante se haga pasar por la entidad y robe tus credenciales de acceso.
  • Integridad de los datos
    HTTPS permite al navegador detectar si un atacante ha cambiado algún dato recibido. Cuando transfieres dinero usando el sitio web de tu banco, HTTPS evita que un atacante cambie el número de cuenta de destino mientras la solicitud está en tránsito.
  • Confidencialidad
    HTTPS evita que un atacante espíe las solicitudes del navegador, realice un seguimiento de los sitios web visitados o robe la información enviada o recibida.

 

HTTPS, TLS y SSL

HTTPS significa “HTTP seguro” (protocolo seguro de transferencia de hipertexto). La parte segura se debe a la encriptación agregada a las solicitudes que el navegador envía y recibe. Actualmente, la mayoría de los navegadores usan el protocolo TLS para proporcionar encriptación; TLS a veces se denomina SSL.

Los detalles de HTTPS, TLS y SSL están fuera del alcance de este artículo, pero si quieres obtener más información, los siguientes recursos son un buen lugar para comenzar:

 

El problema es que el contenido mixto debilita el protocolo HTTPS

Si se realizan solicitudes de recursos usando el protocolo HTTP inseguro sobre una web con HTTPS, la seguridad de toda la página se verá comprometida porque estas solicitudes sin protocolo de seguridad son vulnerables a ataques malintencionados, capaces de ver o modificar la comunicación entre dos partes. Mediante estos recursos, un atacante a menudo puede tomar todo el control de una página, no solo del recurso comprometido.

Si bien muchos navegadores muestran advertencias al usuario cuando aparece contenido mixto, para el momento en que estas lleguen podría ser demasiado tarde: se habrán concretado las solicitudes inseguras y la seguridad de la página estará comprometida.

Por desgracia, esto es bastante común en internet. Esta es la razón por la que Google avisa a los usuarios, pero no puede bloquear todas las solicitudes mixtas sin que con ello restrinjan la funcionalidad de muchos sitios, millones de ellos en realidad.

 

 

 

Tipos de contenido mixto y amenazas de seguridad relacionadas

Podríamos hablar de dos tipos de contenido mixto,  el activo y el pasivo.

El contenido mixto pasivo es el contenido que no interactúa con el resto de la página.
Los ataques de un intermediario están limitados a lo que el intermediario puede hacer si intercepta o cambia dicho contenido. En este contenido se incluyen objetos multimedia, como imágenes, videos y material de audio, además de otros recursos que no pueden interactuar con el resto de la página.

El contenido mixto activo. Es más problemático, porque interactúa con toda la página y permite a los atacantes hacer casi cualquier cosa sobre ella. En este contenido se incluyen secuencias de comandos, hojas de estilo, iframes, recursos flash y cualquier tipo de código que el navegador puede descargar y ejecutar, manipulando el comportamiento final de la página.

 

Comportamiento de los navegadores con contenido mixto

Debido a las amenazas que podemos encontrar con el dichoso contenido mixto, los navegadores pueden bloquear todo el contenido mixto. Sin embargo, como hemos comentado, esto dañaría una gran cantidad de sitios web que millones de usuarios usan a diario.

La medida adoptada actualmente por la mayoría de los navegadores consiste en bloquear los tipos de contenido mixto más peligrosos y permitir que se continúen solicitando los tipos de contenido que presenten menos peligro, avisando a los internautas de este inconveniente.

 

Versiones del navegador

Es importante recordar que no todos los visitantes de tu sitio web usan los último navegadores más actualizados. Las diferentes versiones de los distintos proveedores de navegadores se comportan de manera diferente respecto del contenido mixto. En el peor de los casos, en algunos navegadores y algunas versiones no se bloquea ningún tipo de contenido mixto, lo cual representa un grave peligro para el usuario.

 

Leave a comment