Google, Chrome tarayıcısının Aralık 2019’dan başlayarak karma içeriğe sahip web sayfalarını engellemeye başlayacağını açıkladı. Yayıncılardan, güvensiz HTTP protokolü kullanılarak yüklenen kaynak olmadığından emin olmak için web sitelerini kontrol etmeleri isteniyor.
İlk HTML güvenli bir HTTPS bağlantısı üzerinden yüklenirken diğer kaynaklar (görseller, videolar, stil sayfaları, komut dosyaları gibi) güvensiz bir HTTP bağlantısı üzerinden yüklendiğinde karma içerik oluşur. Tarayıcılar, kullanıcıya bu sayfanın güvenli olmayan kaynaklar içerdiğini belirtmek için bu tür içerikle ilgili uyarılar verir.
HTTPS, hem sitenizi hem de kullanıcılarınızı saldırılara karşı koruma açısından önemlidir fakat karma içerik, HTTPS sitenizin güvenliğini ve kullanıcı deneyimini düşürür.
Kaynak İstekleri ve Web Tarayıcıları
Bir tarayıcı bir web sayfasını ziyaret ettiğinde, bir HTML kaynağı ister. Web sunucusu daha sonra tarayıcının ayrıştırdığı ve kullanıcılara görüntülediği HTML içeriğini döndürür. Genellikle tek bir HTML dosyası tam bir sayfa görüntülemek için yeterli olmaz; bu nedenle HTML dosyası, tarayıcının talep etmesi gereken diğer kaynaklara referanslar içerir. Bu alt kaynaklar, her biri ayrı istekler kullanılarak alınan resimler, videolar, ekstra HTML, CSS veya JavaScript gibi şeyler olabilir.
HTTPS’in Avantajları Nelerdir?
Bir tarayıcı HTTPS üzerinden kaynak istediğinde, web sunucusuyla iletişim kurmak için şifreli bir bağlantı kullanır.
HTTPS kullanmanın üç ana faydası vardır:
- Doğrulama
- Veri bütünlüğü
- Gizlilik
Doğrulama
HTTPS, tarayıcının doğru web sitesini açtığını ve kötü amaçlı bir siteye yönlendirilmediğini kontrol etmesini sağlar. Örneğin bankanızın web sitesine girerken, tarayıcınız web sitesinin kimliğini doğrular ve böylece bir saldırganın bankanızın kimliğine bürünmesini ve giriş bilgilerinizi çalmasını önler.
Veri bütünlüğü
HTTPS, tarayıcının bir saldırganın tarayıcının aldığı verileri değiştirip değiştirmediğini tespit etmesini sağlar. Örneğin bankanızın web sitesini kullanarak para aktarırken, bu isteğiniz iletilirken saldırganın hedef hesap numarasını değiştirmesini önler.
Gizlilik
HTTPS, bir saldırganın, tarayıcının isteklerini dinlemesini, ziyaret edilen web sitelerini izlemesini ve gönderilen veya alınan bilgileri çalmasını önler.
HTTPS, TLS ve SSL
HTTPS, HTTP Secure, Güvenli Hyper(t)ext Aktarım Protokolü anlamına gelir. Buradaki güvenli kısım, tarayıcı tarafından gönderilen ve alınan isteklere eklenen şifrelemeden gelir. Şu anda, çoğu tarayıcı şifreleme sağlamak için TLS (Transport Layer Security ) protokolünü kullanıyor; TLS bazen SSL (Secure Sockets Layer) olarak da adlandırılır.
Google Chrome Karma İçeriği Nasıl Değerlendiriyor?
Google şu anda karma içeriğe sahip sayfaları yüklemeye devam ediyor ancak Aralık 2019 itibariyle Google aşağıdaki iki adımı izlemeye başlayacak.
- Eğer https’te kaynak mevcutsa http içeriğini otomatik olarak https protokolüne yükseltecek.
- Chrome tarafından görüntülenmesi engellenen güvenli olmayan kaynakları görüntüleyebilmesi için kullanıcıya bir seçenek sunacak.
Bu tam olarak bir engelleme olmasa bile, kullanıcıların güvenlik uyarısıyla karşılaştıkları için siteyi terk etmelerine neden olabilir. Bu durum yayıncılar açısından da satışların düşmesi, ziyaretçi sayısının ve reklam görüntülenmesinin azalması gibi olumsuz sonuçlar doğurabilir. Ocak 2020’den itibaren Google, “engeli kaldır” seçeneğini tamamen kaldırarak karma içeriğe sahip web sayfalarını engellemeye başlayacak.
Sitenizdeki Karma İçeriği Nasıl Kontrol Edebilirsiniz?
Sitenizdeki karma içeriği tespit etmek ve düzeltmek oldukça önemli ancak zaman alabilecek bir iş. Bu süreci kolaylaştırmaya yardımcı olabilecek aşağıdaki gibi bazı araçlar ve teknikler mevcut:
- Online Mixed Content Scanner
JitBit SSL Checker
- WordPress Plugin
Really Simple SSL
- Screaming Frog Crawl Software
Karma içeriği manuel olarak tespit etmek sorunların sayısına bağlı olarak uzun sürebilir. Chrome tarayıcısı özelinde bahsedilen aşağıdaki süreç için diğer tarayıcılar da benzer araçlar sunuyor.
Karma İçeriği Siteniz Üzerinden Nasıl Tespit Edebilirsiniz?
Google Chrome’da bir HTTPS sayfasını ziyaret ettiğinizde, tarayıcı sizi JavaScript konsolunda karma içerikle ilgili hatalar konusunda uyarır. Bu uyarıları görüntülemek için Google Chrome DevTools’a ulaşabileceğiniz birden fazla yol bulunuyor.
Sayfaya sağ tıklayıp Denetle (Inspect) kısmından ya da
Command+Option+i (Mac)
F12 veya Control+Shift+i (Windows/Linux) kısayollarından ulaşabilirsiniz. DevTools Console kısmından “mixed content” olarak filtrelediğinizde hataya neden olan linkleri tespit edebilirsiniz.
Sitenizin kaynak kodunda karma içerik tespit ettiğinizde şu adımları izlemelisiniz:
Örnek:
Kaynak kodda bulduğunuz:
Adım 1:
Tarayıcınızda yeni bir sekme açarak, adres çubuğuna URL’yi girdikten sonra http://’yi ile https:// ile değiştirerek URL’nin https olarak erişilebilirliğini kontrol edin.
Görüntülediğiniz kaynak http ve https üzerinden aynıysa her şey yolunda demektir. Bu durumda 2.adıma geçebilirsiniz.
Adım 2:
URL’yi http://’den https://’e değiştirin, kaynak dosyayı kaydedin ve eğer gerekliyse güncel dosyayı yeniden düzenleyin.
Adım 3:Hatayı bulduğunuz sayfayı görüntüleyip ve sorunun çözülüp çözülmediğini https://www.whynopadlock.com/ sitesinden kontrol edebilirsiniz.
Kaynaklar:
https://www.searchenginejournal.com/google-block-mixed-content-warning/329055/
https://developers.google.com/web/fundamentals/security/prevent-mixed-content/what-is-mixed-content
https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content