Was sind gemischte Inhalte?

Jo-el van Bergen
Jo-el van Bergen

Gemischte Inhalte treten auf, wenn der erste HTML-Code über eine sichere HTTPS-Verbindung geladen wird, andere Ressourcen (z. B. Bilder, Videos, Stylesheets, Skripts) aber über eine unsichere HTTP-Verbindung geladen werden. Dies wird als gemischte Inhalte bezeichnet, da sowohl HTTP- als auch HTTPS-Inhalte geladen werden, um dieselbe Seite anzuzeigen, und die ursprüngliche Anfrage über HTTPS sicher war.

Das Anfordern von Unterressourcen mit dem unsicheren HTTP-Protokoll beeinträchtigt die Sicherheit der gesamten Seite, da diese Anfragen anfällig für On-Path-Angriffe sind, bei denen ein Angreifer eine Netzwerkverbindung abhört und die Kommunikation zwischen zwei Parteien ansieht oder ändert. Mithilfe dieser Ressourcen können Angreifer Nutzer verfolgen und Inhalte auf einer Website ersetzen. Im Fall von aktiven gemischten Inhalten übernehmen sie nicht nur die unsicheren Ressourcen, sondern auch die vollständige Kontrolle über die Seite.

Obwohl viele Browser dem Nutzer Warnungen zu gemischten Inhalten melden, ist es zu spät: Die unsicheren Anfragen wurden bereits ausgeführt und die Sicherheit der Seite ist gefährdet.

Aus diesem Grund blockieren Browser immer häufiger gemischte Inhalte. Wenn Sie auf Ihrer Website gemischte Inhalte haben, sollten Sie diese beheben, damit der Inhalt auch dann weiter geladen wird, wenn die Browser strenger werden.

Die zwei Arten von gemischtem Content

Es gibt zwei Arten von gemischten Inhalten: aktive und passive.

Passive gemischte Inhalte beziehen sich auf Inhalte, die nicht mit dem Rest der Seite interagieren. Daher ist ein Man-in-the-Middle-Angriff darauf beschränkt, was er tun kann, wenn er diesen Inhalt abfängt oder ändert. Als passiver gemischter Inhalt gelten Bilder, Video- und Audioinhalte.

Aktive gemischte Inhalte interagieren mit der Seite als Ganzes und ermöglichen einem Angreifer, nahezu alles mit der Seite zu tun. Aktive gemischte Inhalte umfassen Skripts, Stylesheets, iFrames und anderen Code, den der Browser herunterladen und ausführen kann.

Passive gemischte Inhalte

Passive gemischte Inhalte werden als weniger problematisch angesehen, stellen aber dennoch ein Sicherheitsrisiko für Ihre Website und Ihre Nutzer dar. Beispielsweise kann ein Angreifer HTTP-Anfragen für Bilder auf Ihrer Website abfangen und diese Bilder austauschen oder ersetzen. Er kann die Bilder der Schaltflächen Speichern und Löschen austauschen, wodurch Ihre Nutzer unbeabsichtigt Inhalte löschen, Ihre Produktdiagramme durch anstößige oder pornografische Inhalte ersetzen, um Ihre Website zu verwirren, oder Ihre Produktbilder durch Anzeigen für eine andere Website oder ein anderes Produkt ersetzen.

Auch wenn ein Angreifer den Inhalt Ihrer Website nicht ändert, kann er Nutzer über Anfragen für gemischte Inhalte nachverfolgen. Der Angreifer kann anhand von Bildern oder anderen Ressourcen, die der Browser lädt, erkennen, welche Seiten ein Nutzer besucht und welche Produkte er sich ansieht.

Wenn passive gemischte Inhalte vorhanden sind, zeigen die meisten Browser in der URL-Leiste an, dass die Seite nicht sicher ist, auch wenn sie über HTTPS geladen wurde. Dieses Verhalten können Sie in dieser Demo beobachten, die Beispiele für passive gemischte Inhalte enthält.

Bis vor Kurzem wurden passive gemischte Inhalte in allen Browsern geladen, da zum Blockieren viele Websites nicht funktioniert hätten. Da sich dies nun ändert, ist es wichtig, alle Instanzen von gemischtem Content auf Ihrer Website zu aktualisieren.

Chrome führt derzeit ein automatisches Upgrade von passiven gemischten Inhalten ein, wo dies möglich ist. Ein automatisches Upgrade bedeutet, dass der Browser die HTTPS-Version lädt, wenn das Asset über HTTPS verfügbar, aber als HTTP hartcodiert wurde. Wenn keine sichere Version gefunden wird, wird das Asset nicht geladen.

Wenn gemischte Inhalte erkannt oder passive gemischte Inhalte automatisch aktualisiert werden, protokolliert Chrome in den Entwicklertools auf dem Tab Probleme detaillierte Meldungen zur Behebung des jeweiligen Problems.

Auf dem Tab „Probleme“ in den Chrome-Entwicklertools finden Sie detaillierte Informationen zum jeweiligen Problem mit gemischten Inhalten und dazu, wie Sie es beheben können.

Aktive gemischte Inhalte

Aktive gemischte Inhalte stellen eine größere Bedrohung dar als passive gemischte Inhalte. Ein Angreifer kann aktive Inhalte abfangen und umschreiben und so die volle Kontrolle über Ihre Seite oder sogar Ihre gesamte Website übernehmen. Auf diese Weise kann der Angreifer alles an der Seite ändern, beispielsweise völlig andere Inhalte anzeigen, Nutzerpasswörter oder andere Anmeldedaten stehlen, Sitzungscookies von Nutzern stehlen oder den Nutzer vollständig auf eine andere Website weiterleiten.

Aufgrund des Schweregrads dieser Bedrohung blockieren die meisten Browser diese Art von Inhalten zum Schutz der Nutzer bereits standardmäßig. Die Funktionalität variiert jedoch je nach Browseranbieter und -version.

In dieser anderen Demo findest du Beispiele für aktive gemischte Inhalte. Laden Sie das Beispiel über HTTP, um zu sehen, welche Inhalte blockiert werden, wenn Sie das Beispiel über HTTPS laden. Blockierte Inhalte werden auch auf dem Tab Probleme aufgeführt.

Auf dem Tab „Probleme“ in den Chrome-Entwicklertools finden Sie detaillierte Informationen zum jeweiligen Problem mit gemischten Inhalten und dazu, wie Sie es beheben können.

Spezifikation für gemischte Inhalte

Browser folgen der Spezifikation für gemischte Inhalte, in der die Kategorien optional blockierbarer Inhalte und blockierbare Inhalte definiert werden.

Gemäß der Spezifikation gilt eine Ressource als optional blockierbarer Inhalt, wenn das Risiko, die Verwendung als gemischte Inhalte zuzulassen, durch das Risiko größer wird, dass Teile des Webs beschädigt werden. Dies ist ein Teil der oben beschriebenen Kategorie für passive gemischte Inhalte.

Alle Inhalte, die nicht optional blockierbar sind, gelten als blockierbar und sollten vom Browser blockiert werden.

In den letzten Jahren ist die Nutzung von HTTPS drastisch gestiegen und hat sich zum klaren Standard im Web entwickelt. Dadurch können Browser jetzt alle gemischten Inhalte blockieren, selbst die Unterressourcentypen, die in der Spezifikation für gemischte Inhalte als optional blockierbar sind. Aus diesem Grund verfolgt Chrome inzwischen einen strengeren Ansatz für diese Unterressourcen.

Ältere Browser

Nicht jeder Besucher Ihrer Website verwendet die neuesten Browser. Verschiedene Versionen von verschiedenen Browser-Anbietern behandeln gemischte Inhalte unterschiedlich. Im schlimmsten Fall blockieren ältere Browser und Versionen keine gemischten Inhalte, was für den Nutzer sehr unsicher ist.

Indem Sie die Probleme mit gemischten Inhalten beheben, sorgen Sie dafür, dass diese in neuen Browsern sichtbar sind. Außerdem schützen Sie Nutzer vor gefährlichen Inhalten, die nicht von älteren Browsern blockiert werden.