Mixed Content-Warnungen beheben
Chrome ändert Anzeige von Mixed Content-Ausgabe
Mixed Content liegt vor, wenn eine Webseite eine Kombination aus sicherem (HTTPS) und nicht sicherem (HTTP) Inhalt enthält und dieser über SSL an den Browser übergeben wird
(02.12.15) - Zusammen mit der Veröffentlichung von Chrome 46 hat das Chrome-Sicherheitsteam angekündigt, dass der Chrome-Browser Websites mit Mixed Content zukünftig anders anzeigt. HTTPS-Seiten mit Mixed Content werden Besuchern in Chrome genauso angezeigt wie reguläre nicht gesicherte HTTP-Seiten. Bei Website-Inhabern, die sich für ein SSL-Zertifikat entschieden haben um ihre Website zu sichern, wird das auf eher wenig Gegenliebe stoßen. Im aktuellen Chrome-Blog werden für diese Änderung zwei Gründe genannt: Zum einen soll der Sicherheitsstatus einer Seite in Bezug auf HTTP besser visuell angezeigt werden, zum anderen soll der Chrome-Nutzer sich nicht mit noch mehr unterschiedlichen Sicherheitszuständen vertraut machen müssen.
Es ist positiv zu werten, dass Chrome die Anzeige für SSL-Sicherheit vereinfacht. Man kann nicht erwarten, dass der Nutzer bei einer SSL-Verbindung zwischen eingebetteten, sicheren und nicht sicheren Elementen unterscheidet. Er sollte nur zwischen "sicher" und "nicht sicher" unterscheiden müssen. Die Nuancen eines bestimmten Zwischenzustands muss er an dieser Stelle nicht im Detail kennen. Das Endergebnis ist eine Benutzererfahrung, bei der man nicht zwingend die Prinzipien oder die Relevanz von Mixed Content verstehen muss.
Warum werden Mixed Content-Fehler angezeigt?
Mixed Content liegt vor, wenn eine Webseite eine Kombination aus sicherem (HTTPS) und nicht sicherem (HTTP) Inhalt enthält und dieser über SSL an den Browser übergeben wird. Nicht sicherer Inhalt kann theoretisch von Angreifern gelesen oder modifiziert werden, auch wenn die übergeordnete Seite über HTTPS angeboten wird. Mixed Content-Fehler sind ein aktuelles Thema, denn Websites werden immer dynamischer und sind aus vielen verschiedenen Live-Datenquellen oder Fremdelementen wie Social Media Feeds, Analytics-Code, Werbung usw. aufgebaut.
Am besten ist es natürlich sicherzustellen, dass diese Warnungen gar nicht erst angezeigt werden, weil eine Seite korrekt konfiguriert ist und nur sichere Inhalte anbietet.
Besucher von SSL-geschützten Websites erwarten, zu Recht, Sicherheit und entsprechenden Datenschutz. Schützt eine Website den Inhalt nicht vollständig, erscheint im Browser eine "Mixed Content"-Warnung. Mixed Content liegt vor, wenn eine Webseite eine Kombination aus sicherem (HTTPS) und nicht sicherem (HTTP) Inhalt enthält und dieser über SSL an den Browser übergeben wird. Ein potenzieller Angreifer kann den Inhalt kann theoretisch lesen oder modifizieren. Und das auch dann, wenn die übergeordnete Seite über HTTPS angeboten wird.
Wenn Besucher mit solchen Warnmeldungen konfrontiert werden, haben sie zwei Möglichkeiten: Entweder Sie surfen weiter und ignorieren die Warnungen sowie die damit verbundenen potenziellen Sicherheitsrisiken. Eine Vorgehensweise die nicht unbedingt zu empfehlen ist. Die zweite Möglichkeit ist die Warnung ernst zu nehmen und die betreffende Website wegen Sicherheitsbedenken nicht mehr zu besuchen. Aus der Sicht des Webseitenbetreibers ist diese Option noch schlimmer.
Am besten sollte man also sicherstellen, dass diese Warnungen gar nicht erst auftreten. Eine Mixed-Content-Warnung bedeutet, dass sowohl gesicherte als auch ungesicherte Elemente auf einer Seite vorgehalten werden, die eigentlich vollständig verschlüsselt sein sollte. Bei allen Seiten unter einer HTTPS-Adresse muss der gesamte Inhalt aus einer gesicherten Quelle stammen. Jede Seite, die auf eine HTTP-Ressource verlinkt, wird als unsicher gesehen und anschließend vom Browser als Sicherheitsrisiko gekennzeichnet.
Verschiedene Arten von Mixed Content
Es gibt faktisch zwei Arten Mixed Content. Die gefährlichere ist "Mixed Active Content" oder "Mixed Scripting". Diese liegt vor, wenn eine HTTPS-Website eine Skript-Datei über HTTP lädt. Das Laden eines Skripts über eine unsichere Verbindung macht den Sicherheitslevel der aktuellen Seite vollständig zunichte. Webbrowser blockieren diese Art von Mixed Content generell.
Die zweite und häufigere Art ist "Mixed Passive Content” oder "Mixed Display Content.” Dieser liegt vor, wenn eine HTTPS-Website beispielsweise ein Bild oder eine Audiodatei über eine HTTP-Verbindung lädt. Diese Art Content ist für eine Webseite ein geringeres Sicherheitsrisiko. Daher reagieren Webbrowser nicht so strikt wie bei "Active Mixed Content”. Allerdings gilt auch diese Art von Mixed Content gemeinhin als schlechte Sicherheitspraxis, die Probleme verursachen kann. Die wohl häufigste Ursache für alle Mixed-Content-Warnungen: Eine angeblich sichere Website ist so konfiguriert, dass sie Bilder aus einer ungesicherten Quelle verwendet.
Finden und Beheben von Mixed Content-Problemen
Der beste Weg, um Mixed Content-Probleme zu vermeiden ist es, alle Inhalte über HTTPS anstelle von HTTP anzubieten. Sie können ganz einfach nach Mixed Content suchen, indem Sie direkt über den Quellcode nach HTTP-Elementen suchen.
1.) Öffnen Sie den Quellcode einer Seite
2.) Suchen Sie mit einer Suchfunktion nach "src = http". Suchen Sie nach Ressourcen wie Bildern, JavaScript und Links, die über eine nicht sichere (HTTP) Verbindung aufgerufen werden.
Beheben von Mixed Content
Sobald Sie den betreffenden Content gefunden haben, der über HTTP statt HTTPS angeboten wird, ist das Problem ganz einfach durch Hinzufügen eines "s" zu den Links zu lösen - http:// wird zu https://.
Allerdings müssen Sie zunächst prüfen, ob die Ressource über eine HTTPS-Verbindung verfügbar ist. Dazu wird die HTTP-URL kopiert, in einen neuen Webbrowser eingefügt und HTTP zu HTTPS geändert. Wenn die Ressource (d.h. Bild, URL) über HTTPS verfügbar ist, kann man einfach im Quellcode HTTP zu HTTPS ändern.
(GMO GlobalSign: ra)
GlobalSign: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.