محتوى مختلط عند التنزيل من HTTPS: كيفية البحث والتغلب عليه

الحاجة إلى التبديل إلى HTTPS هي سجل مزدحم. تعمل معظم المواقع التجارية والمدونات القابلة للقراءة منذ فترة طويلة على بروتوكول آمن. يبدو أنهم عبروا ونسوا. لكن لا - جوجل في حالة تأهب. في وقت واحد ، شجع مشرفي المواقع على التحول إلى HTTPS ، مما جعله عاملاً مرتبًا. والآن أطلق "التعزيز السلبي" - لقد بدأ عملية حجب كامل للموارد المحملة عبر HTTP. و - مفاجأة - قد لا يحب HTTPS الممتاز ، لأن الموقع يحتوي على محتوى مختلط.

نحن نتفهم سبب عدم إعجاب Google به ، وكيفية العثور عليه ، وجعله جيدًا.

كيف تحفز Google الانتقال إلى HTTPS: من الزنجبيل إلى السوط

لقد بدأ نضال Google لتأمين نقل البيانات باستخدام HTTPS منذ وقت طويل:

• 2010 - إطلاق بحث Google المشفر ؛
• 2011 - بدأ استخدام HTTPS للبحث في Google و Gmail افتراضيًا ؛
• 2014 - أصبح تحميل موقع عبر HTTPS إشارة تصنيف ؛
• 2015 - بدأ Googlebot في فهرسة إصدارات صفحات HTTPS افتراضيًا ؛
• 2017 - في Chrome 62 ، عند إدخال البيانات على المواقع باستخدام HTTP ، بدأ ظهور إشعار حول اتصال غير آمن ("غير آمن") في شريط العناوين في المتصفح ؛

• 2018 - في Chrome 68 ، بدأت جميع المواقع على HTTP يتم تمييزها في شريط العناوين على أنها غير آمنة ؛

• 2019 - أعلنت Google أنها ستتحرك بشكل منتظم لضمان تحميل موارد HTTPS فقط على صفحات HTTPS. نتيجةً لذلك ، سيبدأ Chrome في حظر المحتوى المختلط .

سيتم تنفيذ الحظر تدريجيا:

• ديسمبر 2019 - سيفتح Chrome 79 المحتوى المحظور. باستخدام هذا الخيار ، يمكنك إلغاء قفل البرامج النصية والإطارات وأنواع المحتوى الأخرى التي يحظرها Chrome افتراضيًا. سيبدو هذا الخيار كالتالي:

• يناير 2020 - في Chrome 80 ، سيتم تنزيل محتوى الصوت والفيديو تلقائيًا من HTTPS. إذا لم ينجح التنزيل عبر HTTPS ، فسيحظر Chrome هذه الموارد. إذا لزم الأمر ، يمكن للمستخدمين فتحها يدويًا. في Chrome 80 ، لن يتم حظر الصور التي يتم تحميلها إلى مواقع HTTPS باستخدام HTTP ، ولكن تظهر رسالة تفيد بأن الاتصال غير آمن.

• فبراير 2020 - سيقوم Chrome 81 بتنزيل الصور تلقائيًا من HTTPS. إذا كان يتعذر الوصول إليها ، فسيقوم المستعرض بحظرها.

لا يتم استخدام حظر المحتوى المختلط في Chrome فقط. على سبيل المثال ، يحظر المحتوى النشط Firefox (من الإصدار 23) و Internet Explorer (من الإصدار 9) والمتصفحات الأخرى. لكن حجب الصور ومحتوى الصوت والفيديو بدأ بالتحديد في Google.

نتيجة لتحفيز الانتقال إلى بروتوكول آمن ، زادت حصة المواقع التي تستخدم HTTPS خلال العام الماضي من 43.5٪ إلى 56.5٪.

و 85 ٪ من الصفحات المحملة في كروم من قبل المستخدمين من روسيا تنقل البيانات عبر HTTPS. في عام 2015 ، كان هذا المؤشر 28 ٪ فقط.

بالنظر إلى أن حوالي 41٪ من المستخدمين في روسيا يستخدمون متصفح Chrome ، فإن الأمر يستحق التحضير لحظر المحتوى المختلط حتى لا تفقد حركة المرور والمواقع في المؤسسة.

وحدة تحسين محركات البحث (SEO) في نظام Promopult: جميع الأدوات لتحسين جودة الموقع وتعزيز محرك البحث. مجموعة كاملة من العمل - معنا لن يفوتك أي تافه واحد. قوائم المراجعة والنصائح والتقارير الشفافة والتوصيات المهنية. الضمانات ، الدفع بالتقسيط.

دعونا فرزها بالترتيب.

ما هو المحتوى المختلط ولماذا لا ينبغي أن يكون على الموقع

المحتوى المختلط (في الأصل - "المحتوى المختلط") هو عندما يتم تحميل الصفحة عبر اتصال HTTPS آمن ، ولكن يتم إرسال الموارد الفردية (الصور ، الأنماط ، البرامج النصية ، إلخ) عبر HTTP غير محمي.

على سبيل المثال ، قمت بالتبديل إلى HTTPS (ليس بعد؟ إليك التعليمات ). ولكن في إحدى الصفحات ، لا تزال تقوم بتحميل الصورة من مكتبة خارجية ، والتي تتوفر على عنوان موقع site.ru. هذا محتوى مختلط.

وفقًا لمواصفات W3C ، يتم تقسيم المحتوى المختلط إلى نوعين:

• قابل للقفل اختياريًا (ويشمل ذلك الصور والفيديو والصوت) ؛
• قابل للقفل (محتوى آخر - نصوص ، أنماط ، إطارات ، فلاش ، إلخ).

المحتوى المحظور نشط. يمكن للمهاجمين اعتراض وتعديل المحتوى النشط حتى يتمكنوا من التحكم الكامل في الصفحة أو حتى الموقع بأكمله. سرقة كلمات المرور والبيانات الشخصية للمستخدم وملفات تعريف الارتباط وإعادة توجيه المستخدمين إلى موقع آخر وتغيير المحتوى المرئي ليست سوى أمثلة قليلة على التهديدات التي يفرضها تنزيل المحتوى النشط عبر HTTP.

نظرًا للضرر الكبير والمخاطر المحتملة للمستخدمين ، يُنصح المتصفحات بحظر هذا المحتوى المختلط.

فيما يلي بعض أنواع طلبات HTTP التي تعتبر محتوى نشطًا:

• <script> (src attribute) ؛
• <link> (سمة href) (بما في ذلك الروابط في CSS) ؛
• <iframe> (سمة src) ؛
• طلبات XMLHttpRequest
• جلب () الطلبات
• استخدام الروابط في CSS (واجهة الخط ، المؤشر ، صورة الخلفية) ؛
• <object> (سمة البيانات).

المحتوى المحظور اختياريا هو سلبي. إذا اعترض المهاجمون ذلك ، فلن يتمكنوا من تعطيل الموقع أو الاستيلاء ، على سبيل المثال ، على بيانات الدفع الخاصة بالمستخدمين.

لكن الخطر لا يزال قائما. على سبيل المثال ، يمكن للمهاجمين اعتراض الصور أو مقاطع الفيديو واستبدالها بأشخاص آخرين. يمكن أن يتسبب ذلك في أضرار جسيمة للسمعة (قصص جديدة عن ظهور مقاطع الفيديو أو الصور ذات المحتوى الإباحي على مواقع القنوات الفيدرالية أو مؤسسات الدولة منتشرة في الذاكرة). بالإضافة إلى ذلك ، يمكن للمهاجمين تتبع الصفحات التي شاهدها المستخدمون ، والمنتجات التي يهتمون بها ، والمحتوى الذي شاهدوه.

فيما يلي أنواع طلبات HTTP التي تعتبر محتوى غير فعال:

• <img> (سمة src) ؛
• <audio> (سمة src) ؛
• <video> (سمة src).

إذا كنت لا تريد حظر الموارد الموجودة على موقعك ، فقم بتدقيقها والعثور على محتوى مختلط وجعله متاحًا عبر HTTPS.

كيفية اكتشاف محتوى مختلط على موقع

هناك طرق مختلفة لمعرفة أن موقعك يحتوي على محتوى مختلط.

حسب الرمز في شريط عنوان المتصفح

هذه هي الطريقة الأكثر وضوحا. على سبيل المثال ، سنفتح صفحة آمنة مع صورة يتم تحميلها عبر HTTP. الكود المصدري لهذه الصفحة هو:

في متصفح Chrome ، نرى رمزًا ، عند النقر عليه ، نحصل على شرح:

لدى Mozilla Firefox قصة مماثلة:

عيوب الطريقة:

• ليس من الواضح أي الموارد يتم تحميلها عبر HTTP ؛
• يجب عليك التحقق من كل صفحة يدويا.

لذلك ، فهو مؤشر أكثر من كونه وسيلة متكاملة للبحث عن محتوى مختلط.

من خلال البحث عن مصدر الصفحة

افتح شفرة HTML المصدر للصفحة في المتصفح (Ctrl + U) وابحث عن الجزء "http:" (Ctrl + F).

في هذه الحالة ، نعرف بالضبط الموارد التي يتم تحميلها عبر HTTP. ولكن إذا كان هناك العديد من الصفحات على الموقع ، فإن هذه الطريقة لا تعمل.

الإخطارات في وحدة تحكم المطور

افتح الصفحة التي تريد إيداعها في Chrome واضغط على Ctrl + Shift + I. تحتوي الصفحة على محتوى مختلط ، كما يتضح من أخطاء "المحتوى المختلط" مع وصف تفصيلي.

وبالمثل ، يمكننا التحقق من وجود أخطاء في Firefox:

ميزة هذه الطريقة هي أن جميع الأخطاء المتعلقة بتحميل محتوى مختلط على الصفحة يتم جمعها على الفور في وحدة التحكم. العيب هو ، مرة أخرى ، أنه يجب عليك التحقق من كل صفحة يدويا.

مدقق SSL من JitBit

JitBit هي طريقة سريعة لتحديد الصفحات الموجودة على الموقع ذي المحتوى المختلط. نحدد النطاق - نتلقى قائمة عناوين URL "للمشكلات".

العيب هو أنه ليس من الواضح نوع المحتوى المختلط الموجود على الصفحات. ثم عليك أن تحقق كل شيء يدويا. بالإضافة إلى ذلك ، لا تكون الخدمة مناسبة للمواقع التي تحتوي على أكثر من 300-400 صفحة.

منارة تقرير محتوى مختلط

تتيح لك هذه الطريقة الحصول على البيانات فورًا بواسطة مجموعة من عناوين URL. ليس عليك التحقق من كل عنوان URL يدويًا ، وسوف ترى قائمة كاملة من الموارد التي يتم تحميلها عبر HTTP.

ولكن بشكل افتراضي ، لا يحتوي ملحق Lighthouse على تقرير محتوى مختلط. يجب تشغيله من سطر الأوامر. كيف تفعل ذلك:

1. قم بتثبيت متصفح Google Canary Developer Browser.

2. تثبيت Node.js.

3. قم بتشغيل موجه أوامر Node.js.

4. قم بتشغيل الأمر:

npm install -g lighthouse 

يبدأ تثبيت المنارة.

بعد اكتمال التثبيت بنجاح ، ستتلقى الإشعار التالي:

5. قم بتشغيل التقرير باستخدام الأمر ( استبدل عنوان URL بعنوان الصفحة في تنسيق site.ru ):

 lighthouse --preset="mixed-content" URL 

سيبدأ جيل التقرير.

بعد الانتهاء ، سيقوم النظام بإبلاغك بالمجلد الذي يتم تخزين التقرير به.

بشكل افتراضي ، يتم حفظ التقارير بتنسيق HTML.

يمكنك تغيير تنسيق الإخراج باستخدام الأمر - الإخراج. للمساعدة في هذه الأوامر وغيرها ، اكتب في وحدة التحكم:

 lighthouse --help 

يحتوي التقرير على تدقيقين:

1. باستخدام HTTPS
2. تأمين تحميل الموارد.

إذا كانت هناك مشاكل ، فسيتم الإشارة إلى الموارد التي يتم تحميلها عبر HTTP.

تقرير منارة المحتوى المختلط لعناوين URL متعددة في وقت واحد

للتحقق من عناوين URL متعددة:

1. قم بإنشاء ملف TXT ووضعه في قائمة عناوين URL المراد التحقق منها.

2. قم بإنشاء ملف BAT ووضع الشفرة التالية فيه (تشير علامات الاقتباس إلى المسار إلى ملف TXT واسمه):

 @For /F "UseBackQ Delims=" %%A In ("C:\Users\light\urls.txt") Do @LightHouse "%%A" --preset="mixed-content" 

3. قم بتشغيل ملف BAT من سطر الأوامر. إذا تم تخزين الملف في نفس المجلد مثل التقارير ، فما عليك سوى إدخال اسم الملف واضغط على Enter. وإلا ، فأنت بحاجة إلى كتابة start وتحديد عنوان ملف BAT بمسافة.

يعتمد طول المدة التي تنتظرها على عدد عناوين URL الموجودة في الملف النصي. لكل عنوان URL ، ستتلقى تقريراً منفصلاً.

شكرا لكريستوفر جيزندانر على هذه الطريقة.

تقرير مختلط المحتوى في صراخ الضفدع سيو العنكبوت

ربما هذا هو الطريق الأكثر ملاءمة. ولكن ، على عكس السابقة ، يتم دفعها. تبلغ تكلفة برنامج Screaming Frog SEO Spider 149 جنيهًا إسترلينيًا سنويًا.

للحصول على البيانات ، قم بتشغيل تقرير المحتوى غير الآمن وستحصل على قائمة بالموارد باستخدام HTTP.

اقرأ عن كيفية تحليل أي بيانات تقريبًا من أي موقع باستخدام Screaming Frog على مدونة PromoPult.

كيفية القضاء على المحتوى المختلط

لذلك ، لقد وجدت محتوى مختلطًا على موقعك. يتم حوالي نصف العمل. لكنك لا تزال بحاجة للقضاء عليه. لا يوجد حل واحد - عليك أن تتصرف وفقا للحالة.

الروابط من HTTP يمكن أن تؤدي إلى موارد داخلية وخارجية.

بعد التبديل إلى HTTPS ، يجب تحميل جميع الموارد الداخلية بـ HTTPS. عادة ما يغيرون الروابط المطلقة إلى الروابط النسبية ، ويقومون بإعداد عمليات إعادة التوجيه ، ويتم حل المشكلة على الفور.

مع الموارد الخارجية ليست بهذه البساطة.

السيناريو المثالي هو هذا:

• العثور على URL مع HTTP ؛
• تحقق مما إذا كان المورد نفسه متاحًا عبر HTTPS ؛
• إذا كان الأمر كذلك ، قم بتغيير الرابط من HTTP إلى HTTPS ؛
• تحقق - إذا كان كل شيء يعمل ، ونسيان المشكلة.

ولكن يحدث أن الموارد غير متوفرة عبر HTTPS. في هذه الحالة ، هناك ثلاثة حلول:

1. اتصل بمالك المورد واطلب منه التبديل إلى HTTPS (هذا من فئة الخيال العلمي).
2. ابحث عن بديل آمن لمورد على HTTP (جميع الموارد المناسبة تحولت منذ فترة طويلة إلى HTTPS).
3. لا تفعل شيئًا (هذه حالة متطرفة - إذا كنت لا تستطيع استبدال المورد على الإطلاق ، وهي مهمة للمستخدمين لديك).

تقنيًا بحتًا ، من السهل استبدال عنوان URL واحد (على سبيل المثال ، في مقالة قمت بإحالتها إلى موقع بدون HTTPS). يكفي فتح الكود المصدري وإجراء تعديل.

ولكن هناك عناوين URL لا يمكن إصلاحها دفعة واحدة. على سبيل المثال ، يتضمن هذا الارتباطات في الأنماط والبرامج النصية والروابط الشاملة ، إلخ. في هذه الحالة ، يجب عليك توصيل مبرمج أو استخدام مكونات إضافية.

على سبيل المثال ، بالنسبة إلى WordPress ، توجد هذه الإضافات:

• SSL المثبت المحتوى غير آمن . يتيح لك إصلاح الروابط تلقائيًا إلى موارد غير آمنة. مريح ، يمكنك اختيار "عمق" مختلف من التصحيحات ، وإذا لزم الأمر ، تجاهل المواقع الخارجية.

• SSL بسيط حقا . هذا هو البرنامج المساعد للتبديل بسرعة إلى HTTPS. يقوم تلقائيًا بتغيير الارتباطات إلى النسبية ويزيل المحتوى المختلط. إصدار PRO لديه القدرة على مسح الموقع بحثًا عن محتوى مختلط.

• بحث واستبدال . مكون إضافي للبحث عن أي محتوى على الموقع واستبداله ، بما في ذلك المحتوى المختلط. تتغير النطاقات في علامة التبويب "استبدال عنوان URL للنطاق".

بعد الاستبدال ، يمكنك الاطلاع على التفاصيل - أي الروابط وأية أجزاء من الكود تم استبدالها.

عند استخدام المكونات الإضافية ، من المهم أن تفهم بوضوح ما تفعله. لا نوصي بإجراء تغييرات دون عمل نسخة احتياطية للموقع أولاً. لذلك يمكنك دائما العودة إلى نقطة البداية.

ولعل قوة HTTPS تكون معك.