Apa itu Mixed Content? Pernah mendengar mixed content sebelumnya? Istilah Mixed Content sering bermunculan di komunitas website development.
Sobat Cloudku kali ini kami akan menjelaskan Apa itu Mixed Content. Dan apa saja Mixed Content itu, dan Mengapa Mixed Content dianggap Buruk?
Luangkan waktu teman-teman sejenak untuk mengetahui apa yang dimaksudkan dengan istilah ini
Apa itu Mixed Content?
Pengertian Mixed Content
Mixed Content konfigurasi URL dalam website yang berbeda-beda dimana sebagian tersetting menggunakan absolute path https dan sebagian gunakan http.
Bahaya Utama Mixed Content:
Mixed Content juga dikatakan dapat melemahkan keamanan dan user experience dari pengunjung website Anda.
Issue mixed content ini biasa terjadi jika Anda baru saja melakukan instalasi SSL dan redirect https pada website Anda, tapi belum semua konten di website Anda sepenuhnya redirect dari http ke https. Ketika SSL sudah terinstall namun https nya ada peringatan tidak sempurna.
Terdapat 2 jenis konten yang ada, yang pertama yaitu konten yang dikirim melalui koneksi HTTPS dan dienkripsi agar keamanan nya tetap terjaga. Kedua, ada juga konten atau materi yang dikirim melalui koneksi HTTP yang tidak dienkripsi sehingga keamanan nya kurang terjaga.
Jika kamu menggunakan HTTPS, maka konten mu tidak akan dapat dilihat atau dirusak oleh pihak-pihak yang tidak bersangkutan. Hal tersebut merupakan salah satu faktor yang membuat enkripsi sangat penting untuk website, apalagi jika di dalam website Anda terdapat banyak data yang perlu dirahasiakan seperti data keuangan, data konsumen, data transaksi, dan lain-lain.
Jika teman-teman belum mengetahui apa yang dimaksud dengan HTTP maupun HTTPS dan juga Perbedaannya teman-teman bisa membaca artikel dibawah ini:
Baca juga: Perbedaan HTTP dan HTTPS
Ada dua jenis Mixed Content yaitu:
- Passive Mixed Content
- Active Mixed Content
Apa yang menjadi perbedaan keduanya? dan bagaimana dampak dan resiko keamanan keduanya?
Passive Mixed Content
Pengertian Passive Mixed Content
Passive Mixed Content ini merupakan sebuah content yang tidak melakukan interaksi lebih dengan halaman website. Dengan interaksi yang tidak banyak, maka kemungkinan Man-In-The-Middle-Attack pun juga terbatas dan tidak bisa melakukan seenaknya dan sebebasnya. Sehingga kemungkinan untuk menyadap, meretas, serta mengubah content yang ada di dalamnya pun kecil.
Passive Mixed Content ini terdiri dari gambar, video, serta materi audio yang membuat resource lain tidak bisa berinteraksi secara lebih di halaman website. Sehingga passive mixed content ini bisa dibilang tidak terlalu mengganggu dan kemungkinan menyebabkan risiko yang tidak terduga pun rendah.
Tapi Anda harus tetap berhati-hati, Meskipun kemungkinan untuk menyebabkan risiko yang tidak terlalu tinggi, passive mixed content juga dapat menimbulkan ancaman keamanan pada website.
Studi Kasus
Contoh kejadian yang kemungkinan dapat terjadi yaitu seorang penyerang bisa melakukan penyadapan terhadap permintaan HTTP untuk gambar pada website yang ada dan menukar dengan mengganti gambar-gambar yang ada menjadi gambar lain yang tidak diketahui oleh pemilik.
Penyerang tersebut akan bisa melakukan penggantian gambar dan menukar serta menyimpan di website dan menghapus gambar-gambar asli di website. Gambar yang sebelumnya ada di website pun dapat diubah menjadi gambar-gambar yang tidak layak seperti mengandung konten SARA, kekerasan, memalsukan identitas, atau bahkan foto-foto produk yang ada di website mu diubah menjadi iklan untuk produk lain.
Meskipun penyerangan yang dilakukan tidak akan mengubah konten pada website, tetapi Anda tentunya akan menghadapi masalah keamanan serta privasi yang besar karena penyerang bisa mengakses dan melacak pengguna dengan menggunakan permintaan mixed content.
Hal ini dapat membuat para penyerang mengetahui halaman website mana saja yang telah dibuka dan produk mana saja yang dilihat oleh pengguna berdasarkan informasi gambar dan resource lain yang dimuat oleh browser. Beberapa browser juga melakukan render untuk tipe passive mixed content ini untuk pengguna, selain itu peringatan mengenai mixed content juga tetap ditampilkan agar pengguna dapat berwaspada karena hal tersebut juga dapat menimbulkan risiko keamanan dan privasi pada website.
Active Mixed Content
Pengertian Active Mixed Content
Berbeda dengan passive mixed content, Active mixed content ini tentunya aktif berinteraksi dengan halaman website secara keseluruhan dan para penyerang ini berkemungkinan untuk melakukan hampir semua hal pada halaman website. Active mixed content ini terdiri dari skrip, stylesheet, iframe, resource flash, serta kode-kode lain yang dapat diunduh serta dieksekusi langsung oleh browser.
Bahaya Active Mixed Content:
Active mixed content ini dapat menimbulkan ancaman yang lebih besar daripada passive mixed content. Penyerang bisa saja mengubah dan menulis ulang active content yang dapat membuat kontrol sepenuhnya terhadap halaman website kamu bahkan seluruh website-mu bisa dikuasai.
Beberapa kejadian yang terjadi terkait dengan active mixed content ini adalah pengubahan content yang sangat berbeda jauh dari yang asli, pencurian kata sandi pengguna serta akses untuk proses masuk lainnya, pencurian cookie pengguna, atau bahkan mengalihkan pengguna ke situs lain yang sangat berbeda jauh dari miliknya sendiri.
Karena tipe mixed content yang sangat membahayakan, maka banyak browser yang akhirnya melakukan pemblokiran untuk tipe active mixed content agar dapat melindungi keamanan pengguna nya sehingga tidak akan terjadi risiko yang tidak diinginkan.
Mengapa Mixed Content dianggap Buruk?
Mixed Content menjadi suatu hal yang membingungkan karena Anda akan bingung ketika melihat sebuah website dan kemungkinan Anda tidak akan bisa membedakan mana yang aman dan tidak aman. Hal yang mungkin bisa terjadi misalnya ketika Anda menggunakan jaringan Wi-Fi di area umum, dapat terjadi pemantauan penekanan tombol bahkan sampai memasukkan cookie pelacakan.
Active Mixed Content merupakan yang paling berbahaya, misalnya gambar, video, serta audio yang dapat menimbulkan risiko yang tidak diketahui.
Misalnya saat mengakses website yang konten nya sensitif seperti website perdagangan saham yang bisa saja menampilkan gambar-gambar tidak aman sehingga berpotensi menimbulkan risiko dan rusak.
Selain itu, karena terhubung dengan website yang tidak diamankan pun bisa membuat para pengintai dan pencuri data mungkin melihat apa yang kamu lihat di website saat itu.
Ini menjadi hal buruk jika mencampur konten-konten yang ada. Jika halaman banyak halaman website yang menggunakan HTTPS, maka resource yang yang digunakan juga harus dari HTTPS.
Namun, pada kenyataannya tetap ada website yang menggunakan HTTP dan meningkatkannya ke HTTPS. Hal ini tidak dapat dibenarkan karena pengguna yang melakukan hal tersebut tidak selalu memperbarui untuk menggunakan resource HTTPS dimana pun dan kapan pun.
Justru bisa saja pengguna hanya bergantung pada resource yang disediakan oleh pihak ketiga yang tidak mendukung HTTPS pada saat itu. Akibatnya halaman website akan mencampurkan konten-konten atau yang disebut mixed content dan hal itu tidak baik untuk website.
Mixed content juga dianggap buruk karena dapat membuat halaman website tidak bekerja secara optimal sehingga menyebabkan kinerja website tidak maksimal sesuai dengan kapasitas nya
Cara Cek Mixed Content Atau Tidak
1. Menggunakan Chrome
Untuk mengetahui apakah website Anda Mixed Content atau tidak. Anda bisa membuka Google Chrome Console, dengan cara klik CTRL + Shift + I atau Anda bisa membuka dengan klik kanan dan Klik Inspect.
Setelah klik Inspect. Kemudian klik Console disebelah kanan dari Elements
Jika pada Console terdapat warning mixed content. Maka website Anda perlu segera dibenahi. Jika tidak ada warning muncul, maka tidak ada masalah apa apa.
2. Melalui Website Why No Padlock
untuk cara yang paling mudah adalah melalui website Why No Padlock? Anda cukup memasukkan url website Anda. Secara otomatis tools akan bekerja dan memberikan hasilnya dalam bentuk report.
Leave a Reply