О виджетах видимых и невидимых biarmicus's blog / 14.11.2013 Проблема безопасности в интернете существует столько же, сколько и сам интернет. Радость любого начинающего путешественника по сети от доступности огромного количества ресурсов, где можно что-то прочитать, посмотреть, скачать, рано или поздно сменяется все более крепнущими подозрениями о том, что те, кто все им это предоставляют, действуют далеко не бескорыстно. Безоглядное скачивание программ и действия на сомнительных сайтах чревато заражением своего компьютера и предоставлением доступа злоумышленникам к важной информации - например, личной электронной почте или банковским счетам.Уже с середины 1990-х годов добропорядочные сайтостроители в содружестве с разработчиками браузеров работают над решением этой проблемы, магистральной линией которого стала разработка сертификата безопасности SSL (secure socket layer), основанного на шифровании данных, обмен которыми происходит между "проверенным" сервером и браузером пользователя. Все это привело к выделению из общепринятого протокола HTTP, по которому происходит просмотр веб страниц пользователями безопасного протокола HTTPS, на основе которого происходит просмотр страниц, использующих сертификат безопасности SSL. Это позволило на порядок повысить безопасность пользователя, путешествующего по сети, хотя и породило определенный дисбаланс: одни разработчики контента оперативно перешли на сертификаты безопасности SSL, другие (прежде всего некоммерческие веб-строители) не спешат это делать.С начала осени 2013 года многие владельцы образовательных сайтов и блогов начали сталкиваться с проблемой, связанной с невозможностью просмотра на их сайтах встроенных виджетов, причем коснулось это популярных и часто используемых учителями приложений - padlet, slideshare, TED video. Как оказалось, проблема эта возникает из-за того, что в новых версиях браузеров Mozilla Firefox и Chrome (начиная с версии 30.0) стали по умолчанию считать ненадежными все сайты, на которых используются веб-компоненты, не подтвержденные сертификатами безопасности. То есть, например, если на безопасном Google сайте используется встраиваемый элемент, который "берется" (это делается с помощью встраиваемого виджета) с незащищенного сайта (например, TED.com), то браузер такой элемент браузер считает "смешанным контентом" и блокирует. Вот как это выглядит. Мы вставляем код в страницу:Но после ее сохранения ничего не происходит - наше видео не отображается. На защищенном сайте браузер наткнулся на виджет, который берет данные с незащищенного сайта… и не стал его отображать.Обратим во внимание на то, что в адресной строке браузера Chrome появился значок, указывающий на то, что на сайте обнаружен смешанный контент, который и был заблокирован, из-за чего наш виджет превратился в виджет-невидимку. Здесь есть три пути:Путь первый, одноразовый. Просто снять блокировку с этого сайта. Для этого достаточно нажать на значок щита и согласиться с загрузкой скрипта из непроверенных источников (каковыми браузер считает все не-https сайты). Делать это надо в том случае, если репутация сайта, с которого загружаются данные виджета, сомнению не подлежит. Виджет будет отображен в браузере. Однако обратите внимание, что ваше разрешение будет действительно только в течение одного сеанса. Когда вы зайдете на этот же сайт в следующий раз, снимать блокировку придется снова.Путь второй, обходной. Многие виджеты сегодня предоставляются не одним, а несколькими ресурсами. С тем же TED - есть выбор, брать ли его с "родного", но не защищенного SSL сайта TED.com или с того же Youtube, где с сертификатами безопасности все хорошо. Такая мера может рассматриваться и в качестве временной - в ожидании тех времен, когда все разработчики образовательного контента перейдут на защищенные протоколы предоставления данных.Путь третий, рисковый. В настройках браузера можно отменить блокирование страниц со "смешанным контентом". Для этого правой кнопкой мыши щелкаем значок браузера Chrome и выбираем "свойства". В поле "объект" добавляем ключ --allow-running-insecure-content. Получится нечто следующее:Теперь вы будете видеть все виджеты на сайтах, которые Chrome ранее скрывал по соображениям безопасности. Однако этим, третьим способом следует пользоваться с крайней осторожностью - поскольку степень защищенности вашего интернет соединения будет на порядок ниже. безопасность виджет контент