Conteudo misto
O que é Conteudo misto?
Conteudo mistoSituacao em que uma pagina HTTPS carrega sub-recursos (scripts, estilos, imagens, XHR) por HTTP simples, enfraquecendo as garantias de seguranca.
Conteudo misto ocorre quando uma pagina servida por HTTPS importa scripts, folhas de estilo, imagens, fontes ou requisicoes fetch de URL http:// inseguras. O conteudo misto ativo (scripts, iframes, XHR) e perigoso porque um atacante no caminho pode reescrever a resposta e injetar codigo no contexto seguro, quebrando confidencialidade e integridade. Navegadores modernos bloqueiam por padrao o conteudo misto ativo e podem promover ou bloquear conteudo passivo como imagens. Defesas incluem servir todos os ativos por HTTPS, usar URL https:// absolutas, a diretiva CSP upgrade-insecure-requests e o HSTS para forcar HTTPS em todo o site.
● Exemplos
- 01
Uma pagina HTTPS de checkout que carrega um script de analytics por http:// pode ser sequestrada para roubar dados de cartao.
- 02
Aviso do console: "Mixed Content: a pagina foi carregada por HTTPS mas solicitou um script inseguro".
● Perguntas frequentes
O que é Conteudo misto?
Situacao em que uma pagina HTTPS carrega sub-recursos (scripts, estilos, imagens, XHR) por HTTP simples, enfraquecendo as garantias de seguranca. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Conteudo misto?
Situacao em que uma pagina HTTPS carrega sub-recursos (scripts, estilos, imagens, XHR) por HTTP simples, enfraquecendo as garantias de seguranca.
Como funciona Conteudo misto?
Conteudo misto ocorre quando uma pagina servida por HTTPS importa scripts, folhas de estilo, imagens, fontes ou requisicoes fetch de URL http:// inseguras. O conteudo misto ativo (scripts, iframes, XHR) e perigoso porque um atacante no caminho pode reescrever a resposta e injetar codigo no contexto seguro, quebrando confidencialidade e integridade. Navegadores modernos bloqueiam por padrao o conteudo misto ativo e podem promover ou bloquear conteudo passivo como imagens. Defesas incluem servir todos os ativos por HTTPS, usar URL https:// absolutas, a diretiva CSP upgrade-insecure-requests e o HSTS para forcar HTTPS em todo o site.
Como se defender contra Conteudo misto?
As defesas contra Conteudo misto costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- appsec№ 214
Política de Segurança de Conteúdo (CSP)
Cabeçalho HTTP que informa ao navegador quais origens de scripts, estilos, frames e outros conteúdos são permitidas, limitando o impacto de XSS e injeções de dados.
- network-security№ 497
HTTP Strict Transport Security (HSTS)
Política de segurança web enviada num cabeçalho HTTP que instrui o navegador a aceder a um domínio apenas via HTTPS durante o período declarado.
- attacks№ 651
Ataque do tipo Man-in-the-Middle
Ataque em que um adversário retransmite ou altera secretamente as comunicações entre duas partes que julgam estar a falar diretamente uma com a outra.
- network-security№ 1159
TLS (Transport Layer Security)
Protocolo criptográfico padronizado pelo IETF que fornece confidencialidade, integridade e autenticação ao tráfego entre duas aplicações em rede.
- appsec№ 1114
Integridade de Sub-recursos (SRI)
Mecanismo do navegador que verifica um hash criptográfico de um script ou folha de estilos carregado de terceiro antes de executá-lo, impedindo arquivos adulterados.
- appsec№ 960
Politica de mesma origem (SOP)
Regra de seguranca do navegador que restringe como um documento ou script carregado de uma origem pode interagir com recursos de outra origem.