Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Come gestire i mixed content

Cosa sono i mixed content, perché è importante individuarli e quali strumenti utilizzare per rilevare contenuti sotto HTTP
Cosa sono i mixed content, perché è importante individuarli e quali strumenti utilizzare per rilevare contenuti sotto HTTP
Link copiato negli appunti

Nelle lezioni precedenti di questa guida abbiamo parlato di come installare un certificato SSL, passare dal protocollo HTTP a quello HTTPS e come ottimizzare la SEO per il nostro sito Web.

Una cosa che però non abbiamo ancora trattato, e che risulta essere di notevole importanza quando si parla di certificati SSL e quindi di protocollo HTTPS, risulta essere quella dei mixed content o contenuti misti.

Che cosa sono i mixed content

Dopo aver seguito pedissequamente tutti i passaggi mostrati in questa guida per dotare il nostro sito Web di un certificato SSL e quindi di una connessione sicura HTTPS, questo potrebbe ancora manifestare qualche piccolo problema: nello specifico, i browser Web potrebbero visualizzare ancora un messaggio che comunica la poca affidabilità del sito Web.

Il classico lucchetto mostrato accanto all'URL del sito Web infatti, pur avendo installato correttamente il certificato SSL, potrebbe non essere ancora presente. Questo è un classico problema di errore di mixed content.

I mixed content o contenuti misti sono dei contenuti per l'appunto misti e un errore di questo tipo sta a indicare il fatto che il sito Web, pur avendo adottato il protocollo HTTPS, contiene ancora dei contenuti provenienti da una fonte che usa il protocollo HTTP.

In altri termini, una pagina anche se può essere caricata per mezzo del protocollo HTTPS potrebbe contenere degli elementi al suo interno, come un'immagine o uno script, che utilizza ancora un vecchio URL HTTP e potenzialmente potrebbe essere segnalato dal nostro browser Web come un componente non sicuro.

Questo, non solo rappresenta un rischio per la sicurezza del nostro sito Web, ma un possibile visitatore ignaro potrebbe ricevere per davvero dei contenuti non sicuri. In questa lezione forniremo una panoramica degli avvisi di mixed content.

Cosa causa un errore mixed content

Come abbiamo anticipato, un errore di contenuto misto si verifica quando il nostro sito carica contemporaneamente contenuti HTTPS e HTTP e questo accade generalmente perché alcune parti del sito sono ancora ottenute per mezzo del protocollo HTTP.

Tipi di mixed content

Esistono due gruppi di contenuti misti: quelli passivi e quelli attivi.

  • I contenuti misti passivi comprendono elementi generalmente accessibili che non detengono alcun tipo di dati riservati o finanziari. Violare tali dati tramite un protocollo non sicuro non porterebbe guadagni finanziari ai possibili attaccanti. L'unica cosa che qualche malintenzionato potrebbe fare con questi elementi sarebbe quella di modificarli.
    I contenuti misti passivi comprendono immagini, file audio, video e altri elementi che i malintenzionati possono sostituire con altri file.
  • I contenuti misti attivi comprendono script e frame che possono danneggiare gravemente il sito e i suoi utenti in caso di manomissione. Gli attributi src dei tag script e iframe sono gli elementi principali che fanno riferimento a questo tipo di contenuto. Altri elementi altamente pericolosi se manomessi sono:
    • attributo href del tag link.
    • attributo data del tag object.
    • parametro URL negli stili CSS;
    • XMLHttpRequest comprese le sue query.

Come trovare e identificare gli errori di mixed content

Esistono diversi modi per identificare gli errori di contenuto misto su un sito Web e, più specificamente, quali risorse vengono caricate per mezzo del protocollo HTTP.

Un modo potrebbe essere quello di verificare manualmente la presenza di errori utilizzando gli "Strumenti per sviluppatori" del browser Chrome (Chrome DevTools) o gli "Strumenti di sviluppo Web" del browser Firefox.

Un altro modo potrebbe essere invece quello di adoperare alcuni servizi esterni che si occupano di compiere questo controllo al posto nostro .

Analisi manuale

Nel caso si volesse eseguire un'analisi manuale qualora dovesse palesarsi un avviso di tipo mixed content, gli strumenti per sviluppatori dei vari browser sono in grado di mostrare nella loro "Console" quale componente viene caricato tramite HTTP.

Per farlo, basta aprire il sito Web che vogliamo analizzare e che presenta un avviso di tipo mixed content in Google Chrome. Fare clic con il tasto destro del mouse sulla pagina in cui compare l'avviso, quindi selezionare "Ispeziona".

Nella scheda "Console" saranno elencati tutti gli elementi che il browser ha identificato e segnalato come non sicuri, con gli avvisi di contenuto misto evidenziati in giallo.

Bisogna fare attenzione al fatto che un errore mixed content potrebbe essere presente su più pagine del nostro sito Web.

Quindi, bisognerebbe eseguire l'operazione sopra riportata con gli strumenti per sviluppatori su ogni singola pagina del sito, per evitare che ci possano essere più contenuti caricati con l'HTTP in diverse parti del sito.

Analisi automatica

In rete sono presenti diversi servizi che si occupano di compiere un'analisi automatica sui vari elementi presenti all'interno di un sito Web che presenta il problema dei contenuti misti. Tra questi, uno tra i più famosi è l'SSL Check di JitBit.

Questo strumento analizza l'intero sito e fornisce un elenco di URL non HTTPS. È sufficiente inserire il dominio nella barra di ricerca dello strumento e fare clic su "Controlla errori SSL" (Check for SSL Errors).

Al termine della scansione del sito Web verrà visualizzato un elenco di pagine con contenuti non sicuri.

Un altro strumento molto diffuso è Why No Padlock, simile a SSL Check. Anche in questo caso è sufficiente inserire l'URL e cliccare su "Test Page".

Conclusioni

Se nel nostro sito Web dovessero comparire avvisi di contenuto misto è importante risolverli al più presto: devono essere individuati e rimossi tempestivamente.

Questo perchè oltre a far apparire il sito inaffidabile agli occhi dei vari visitatori, questi errori possono anche danneggiare la SEO del sito.

Tutti i browser sono obbligati a informare gli utenti nel caso in cui un sito contenga elementi non sicuri e questo comporta il fatto che i potenziali visitatori possano preferire un sito concorrente che offre dei contenuti sicuri.

In questa lezione abbiamo visto che esistono diversi strumenti per rilevare gli avvisi di contenuto misto, sia manuali che totalmente automatici. Questi ultimi hanno sicuramente il pregio di velocizzare la ricerca manuale che potrebbe richiedere parecchio tempo.

Le best practices in questo ambito sono svariate e quella che ci sentiamo di consigliarvi è di scansionare il sito Web alla ricerca di elementi insicuri poco dopo che questo sia stato protetto da HTTPS.

Per risolvere gli errori è necessario sostituire i link con la variante https:// o caricare i file necessari direttamente sul proprio server dopo aver scaricato le informazioni necessarie da altri siti e quindi utilizzare i link relativi.

Ti consigliamo anche