Eine Seite enthält gemischte Inhalte, wenn ihr ursprüngliches HTML über eine sichere HTTPS-Verbindung geladen wird, andere Ressourcen (z. B. Bilder, Videos, Stylesheets und Scripts) jedoch über eine unsichere HTTP-Verbindung. Der Name bezieht sich auf die Mischung aus HTTP- und HTTPS-Inhalten auf einer einzelnen Seite.
Wenn Sie Unterressourcen über das unsichere HTTP-Protokoll anfordern, wird die Sicherheit der Seite geschwächt, da diese Anfragen anfällig für Man-in-the-Middle-Angriffe sind. Bei solchen Angriffen belauscht ein Angreifer eine Netzwerkverbindung und sieht oder ändert die Kommunikation zwischen zwei Parteien. Mithilfe dieser Ressourcen können Angreifer Nutzer verfolgen und Inhalte auf einer Website ersetzen. Bei aktivem gemischten Inhalt können sie die vollständige Kontrolle über die Seite übernehmen, nicht nur über die unsicheren Ressourcen.
Viele Browser zeigen dem Nutzer zwar Warnungen zu gemischten Inhalten an, aber oft zu spät: Die unsicheren Anfragen wurden bereits ausgeführt und die Sicherheit der Seite ist gefährdet.
Die meisten Browser blockieren gemischte Inhalte aus Sicherheitsgründen. Ändern Sie Anfragen für unsichere Inhalte in Anfragen für sichere Inhalte, damit Ihre Seite weiterhin korrekt geladen wird.
Die beiden Arten von gemischten Inhalten
Es gibt zwei Arten von gemischten Inhalten: aktive und passive.
Passive gemischte Inhalte wie Bilder, Videos und Audioinhalte interagieren nicht mit dem Rest der Seite. Ein Man-in-the-Middle-Angriff ist daher in seinen Möglichkeiten eingeschränkt, wenn er diese Inhalte abfängt oder ändert.
Aktiver gemischter Inhalt interagiert mit der Seite als Ganzes. Dazu gehören Skripts, Stylesheets, iFrames und anderer Code, den der Browser herunterladen und ausführen kann. Bei Angriffen auf aktiven gemischten Inhalt kann ein Angreifer fast alles mit der Seite anstellen.
Passive gemischte Inhalte
Passive gemischte Inhalte stellen ein geringeres Risiko dar als aktive gemischte Inhalte, aber das Risiko ist dennoch vorhanden. Ein Angreifer kann beispielsweise Folgendes tun:
- HTTP-Anfragen für Bilder auf Ihrer Website abfangen und diese Bilder tauschen oder ersetzen.
- Die Bilder auf Schaltflächen werden so ersetzt, dass Nutzer sie verwechseln und beispielsweise Inhalte löschen, die sie eigentlich speichern wollten.
- Ihre Website durch Ersetzen Ihrer Bilder durch pornografische Inhalte verunfiguriert.
- Ersetzen Sie Ihre Produktbilder durch Anzeigen für etwas anderes.
Auch wenn der Angreifer die Inhalte Ihrer Website nicht ändert, kann er Nutzer über Anfragen mit gemischten Inhalten verfolgen. Außerdem können sie anhand von Bildern oder anderen Ressourcen, die der Browser lädt, erkennen, welche Seiten ein Nutzer besucht und welche Produkte er sich ansieht.
Wenn passive gemischte Inhalte vorhanden sind, weisen die meisten Browser in der Adressleiste darauf hin, dass die Seite nicht sicher ist, auch wenn die Seite selbst über HTTPS geladen wird. In dieser Demo können Sie sich ansehen, wie das funktioniert.
Bis vor Kurzem wurden passive gemischte Inhalte in allen Browsern geladen, da das Blockieren viele Websites beschädigt hätte. Das ändert sich jetzt. Es ist daher wichtig, dass Sie alle Fälle von gemischten Inhalten auf Ihrer Website aktualisieren.
In einigen Fällen aktualisiert Chrome passive gemischte Inhalte automatisch. Wenn ein Asset also als HTTP hartcodiert wurde, aber über HTTPS verfügbar ist, lädt der Browser die HTTPS-Version. Wenn keine sichere Version vorhanden ist, wird das Asset nicht geladen.
Wenn in Chrome gemischte Inhalte erkannt oder passive gemischte Inhalte automatisch aktualisiert werden, werden detaillierte Meldungen auf dem Tab Probleme in den Entwicklertools protokolliert, um Sie bei der Behebung des jeweiligen Problems zu unterstützen.
Aktive gemischte Inhalte
Aktive gemischte Inhalte stellen eine größere Bedrohung dar als passive gemischte Inhalte. Ein Angreifer kann aktive Inhalte abfangen und umschreiben und so die vollständige Kontrolle über Ihre Seite oder sogar Ihre gesamte Website übernehmen. So können sie jeden Aspekt der Seite ändern, z. B. andere Inhalte anzeigen, Nutzerpasswörter oder andere Anmeldedaten stehlen, Sitzungscookies von Nutzern stehlen oder Nutzer auf eine ganz andere Website weiterleiten.
Da die Risiken von aktivem gemischten Inhalt so hoch sind, blockieren die meisten Browser diese Art von Inhalt standardmäßig, um Nutzer zu schützen. Das Verhalten variiert jedoch zwischen Browseranbietern und ‑versionen.
In dieser Demo finden Sie Beispiele für aktiven gemischten Inhalt. Laden Sie das Beispiel über HTTP, um die Inhalte zu sehen, die blockiert werden, wenn Sie das Beispiel über HTTPS laden. Blockierte Inhalte werden auch auf dem Tab Probleme in den Entwicklertools aufgeführt.
Spezifikation für gemischte Inhalte
Browser folgen der Spezifikation für gemischte Inhalte, in der die Kategorien optional blockierbare Inhalte und blockierbare Inhalte definiert sind.
Eine Ressource gilt als optional blockierbarer Inhalt, „wenn das Risiko, ihre Verwendung als gemischte Inhalte zuzulassen, geringer ist als das Risiko, dass dadurch ein erheblicher Teil des Webs nicht mehr funktioniert“. Dies ist eine Teilmenge von passiven gemischten Inhalten.
Alle gemischten Inhalte, die nicht optional blockierbar sind, gelten als blockierbar und sollten vom Browser blockiert werden.
In den letzten Jahren ist die Nutzung von HTTPS drastisch gestiegen und hat sich im Web zum Standard entwickelt. Es ist jetzt für Browser einfacher, alle gemischten Inhalte zu blockieren, auch die in der Spezifikation für gemischte Inhalte als optional blockierbar definierten Subressourcentypen.
Ältere Browser
Einige Besucher verwenden möglicherweise ältere Browser. Verschiedene Browserversionen von unterschiedlichen Anbietern behandeln gemischte Inhalte unterschiedlich. Im schlimmsten Fall blockieren ältere Browser und Versionen überhaupt keine gemischten Inhalte, was für den Nutzer unsicher ist.
Wenn Sie alle Ihre Ressourcen sicher laden und Probleme mit gemischten Inhalten beheben, sorgen Sie dafür, dass Ihre Inhalte sichtbar sind, und schützen Nutzer vor gefährlichen Inhalten, die von älteren Browsern möglicherweise nicht blockiert werden.