Eine Seite enthält gemischte Inhalte, wenn ihr ursprünglicher HTML-Code über eine sichere HTTPS-Verbindung geladen wird, andere Ressourcen (z. B. Bilder, Videos, Stylesheets und Scripts) jedoch über eine unsichere HTTP-Verbindung. Der Name bezieht sich auf die Mischung aus HTTP- und HTTPS-Inhalten auf einer einzelnen Seite.
Wenn Sie untergeordnete Ressourcen mit dem unsicheren HTTP-Protokoll anfordern, wird die Sicherheit der Seite geschwächt, da diese Anfragen anfällig für On-Path-Angriffe sind, bei denen ein Angreifer eine Netzwerkverbindung abhört und die Kommunikation zwischen zwei Parteien einsieht oder ändert. Mithilfe dieser Ressourcen können Angreifer Nutzer erfassen und Inhalte auf einer Website ersetzen. Bei aktiven gemischten Inhalten können sie nicht nur die Kontrolle über die unsicheren Ressourcen, sondern auch über die gesamte Seite übernehmen.
Viele Browser melden dem Nutzer zwar Warnungen zu gemischten Inhalten, diese Meldung kommt jedoch oft zu spät: Die unsicheren Anfragen wurden bereits ausgeführt und die Sicherheit der Seite ist gefährdet.
Die meisten Browser blockieren gemischte Inhalte aus Sicherheitsgründen. Ändern Sie Anfragen für unsichere Inhalte in Anfragen für sichere Inhalte, damit Ihre Seite weiterhin richtig geladen wird.
Die beiden Arten von gemischten Inhalten
Es gibt zwei Arten von gemischten Inhalten: aktive und passive.
Passive gemischte Inhalte wie Bilder, Video und Audio interagieren nicht mit dem Rest der Seite. Daher ist ein Man-in-the-Middle-Angriff, bei dem diese Inhalte abgefangen oder geändert werden, stark eingeschränkt.
Aktive gemischte Inhalte interagieren mit der Seite als Ganzes. Dazu gehören Scripts, Stylesheets, Iframes und jeder andere Code, den der Browser herunterladen und ausführen kann. Bei Angriffen auf aktive gemischte Inhalte kann ein Angreifer fast alles mit der Seite tun.
Passive gemischte Inhalte
Passive gemischte Inhalte stellen zwar ein geringeres Risiko dar als aktive gemischte Inhalte, aber es besteht dennoch ein Risiko. Ein Angreifer kann beispielsweise:
- HTTP-Anfragen für Bilder auf Ihrer Website abfangen und diese Bilder austauschen oder ersetzen.
- Ersetzen Sie die Bilder auf Schaltflächen, damit Nutzer sie verwechseln und beispielsweise Inhalte löschen, die sie eigentlich speichern wollten.
- Ihre Website wird durch das Ersetzen Ihrer Bilder durch pornografische Inhalte verunstaltet.
- Ersetzen Sie Ihre Produktbilder durch Anzeigen für andere Produkte.
Auch wenn der Angreifer die Inhalte Ihrer Website nicht ändert, kann er Nutzer über Anfragen mit gemischten Inhalten verfolgen. Außerdem können sie anhand von Bildern oder anderen Ressourcen, die der Browser lädt, erkennen, welche Seiten ein Nutzer besucht und welche Produkte er sich ansieht.
Wenn passive gemischte Inhalte vorhanden sind, geben die meisten Browser in der Adressleiste an, dass die Seite nicht sicher ist, auch wenn die Seite selbst über HTTPS geladen wird. In dieser Demo können Sie sich dieses Verhalten ansehen.
Bis vor Kurzem wurden passive gemischte Inhalte in allen Browsern geladen, da das Blockieren viele Websites beeinträchtigt hätte. Das ändert sich jetzt langsam. Daher ist es wichtig, alle gemischten Inhalte auf Ihrer Website zu aktualisieren.
In einigen Fällen werden passive gemischte Inhalte in Chrome automatisch aktualisiert. Wenn ein Asset als HTTP hartcodiert, aber über HTTPS verfügbar ist, lädt der Browser die HTTPS-Version. Wenn keine sichere Version vorhanden ist, wird das Asset nicht geladen.
Wenn Chrome gemischte Inhalte erkennt oder passive gemischte Inhalte automatisch aktualisiert, werden detaillierte Meldungen auf dem Tab Probleme in den Entwicklertools protokolliert. Dort finden Sie auch Hinweise zur Behebung des jeweiligen Problems.
Aktive gemischte Inhalte
Aktive gemischte Inhalte stellen eine größere Bedrohung dar als passive gemischte Inhalte. Ein Angreifer kann aktive Inhalte abfangen und umschreiben, um so die vollständige Kontrolle über Ihre Seite oder sogar Ihre gesamte Website zu übernehmen. So können sie jeden Aspekt der Seite ändern, z. B. andere Inhalte anzeigen, Nutzerpasswörter oder andere Anmeldedaten stehlen, Nutzersitzungs-Cookies stehlen oder Nutzer auf eine ganz andere Website weiterleiten.
Da die Risiken aktiver gemischter Inhalte so hoch sind, blockieren die meisten Browser diese Art von Inhalten bereits standardmäßig, um Nutzer zu schützen. Das Verhalten variiert jedoch je nach Browseranbieter und -version.
In dieser Demo sehen Sie Beispiele für aktive gemischte Inhalte. Laden Sie das Beispiel über HTTP, um die Inhalte zu sehen, die blockiert werden, wenn Sie das Beispiel über HTTPS laden. Blockierte Inhalte werden auch auf dem Tab Probleme in den Entwicklertools aufgeführt.
Spezifikation für gemischte Inhalte
Browser folgen der Spezifikation für gemischte Inhalte, in der die Kategorien optional blockierbare Inhalte und blockierbare Inhalte definiert sind.
Eine Ressource gilt als optional blockierbarer Inhalt, „wenn das Risiko, die Nutzung als gemischte Inhalte zuzulassen, durch das Risiko überwiegt, dass dadurch erhebliche Teile des Webs nicht mehr funktionieren“. Dies ist eine Untergruppe passiver gemischter Inhalte.
Alle gemischten Inhalte, die nicht optional blockierbar sind, gelten als blockierbar und sollten vom Browser blockiert werden.
In den letzten Jahren ist die Nutzung von HTTPS dramatisch gestiegen und es ist zum klaren Standard im Web geworden. So ist es für Browser jetzt einfacher, alle gemischten Inhalte zu blockieren, auch solche Subressourcentypen, die in der Spezifikation für gemischte Inhalte als optional blockierbar definiert sind.
Ältere Browser
Einige Besucher verwenden möglicherweise ältere Browser. Unterschiedliche Browserversionen verschiedener Anbieter behandeln gemischte Inhalte unterschiedlich. Im schlimmsten Fall werden in älteren Browsern und Versionen gar keine gemischten Inhalte blockiert, was für Nutzer ein Sicherheitsrisiko darstellt.
Wenn Sie alle Ihre Ressourcen sicher laden und Probleme mit gemischten Inhalten beheben, sorgen Sie dafür, dass Ihre Inhalte sichtbar sind, und schützen Nutzer vor gefährlichen Inhalten, die in älteren Browsern möglicherweise nicht blockiert werden.