Diese Übersetzung ist unvollständig. Bitte helfen Sie, diesen Artikel aus dem Englischen zu übersetzen.

Wenn ein Benutzer eine Seite betrachtet, die über HTTPS bereit gestellt wird, ist die Verbindung mit TLS verschlüsselt und deshalb geschützt gegen Sniffer und Man-in-the-Middle-Angriffe.

Wenn die HTTPS-Seite Inhalte enthält, die über reguläres HTTP im Klartext abgerufen werden, ist die Verbindung nur teilweise verschlüsselt: Der unverschlüsselte Inhalt ist zugänglich für Sniffer und kann durch Man-in-the-Middle-Angriffe verändert werden, weshalb die Verbindung nicht mehr geschützt ist. Eine Website, die dieses Verhalten aufweist, wird als Mixed Content-Seite bezeichnet.

Kategorien von Mixed Content

Es gibt zwei Kategorien für den gemischten Inhalt: Mixed Passive/Display Content und Mixed Active Content. Der Unterschied liegt in der Bedrohungsstufe (threat level), wobei im schlimmsten Fall (worst case scenario), der sogenannte „man in the middle“ Angriff ist. Im Falle eines passiven Inhalts ist die Bedrohung gering, die Webseite erscheint mit fehlerhaften oder irreführenden Inhalten. Bei aktiven Inhalten liegt die Bedrohung im Phishing, also zur Offenlegung vertraulicher Daten sowie zur Weiterleitung an bösartige Webseiten oder ähnliches.

Mixed passive/display content

Bei Mixed Passive/Display Content ist der Inhalt (z.B. Bilder), der über HTTP bereitgestellt wird, in einer HTTPS Webseite enthalten. Dieser kann die HTTPS- Seite nicht verändern, wobei ein Angreifer das über HTTP bereitgestellte Bild durch ein unangemessenes Bild/Nachricht ersetzen kann und/oder auch Informationen über die Aktivitäten des Besuchers ableiten, indem er beobachtet, welche Bilder dem Besucher geliefert werden. Oft werden Bilder nur auf einer bestimmten Seite, innerhalb einer HTTPS-Webseite, geschaltet. Hier kann dann der Angreifer die HTTP Anforderungen an bestimmten Bildern auswerten und ist in der Lage festzustellen, welche Webseite der Benutzer besucht.

Passive content Auflistung

Dieser Abschnitt listet alle Arten von HTTP-Anfragen auf, die als passiver Inhalt betrachtet werden:

  • <img> (src Attribut)
  • <audio> (src Attribut)
  • <video> (src Attribut)
  • <object> subresources (wenn ein <object>  HTTP Requests ausführt)

Mixed active content

Mixed Active Content ist ein Inhalt, der Zugriff auf das gesamte oder Teile des Dokumentenobjektmodells der HTTPS-Seite hat. Diese Art von gemischten Inhalten kann das Verhalten der HTTPS-Seite verändern und möglicherweise sensible Daten vom Benutzer stehlen. Zusätzlich zu den oben beschriebenen Risiken für Mixed Display Content ist Mixed Active Content daher anfällig für einige andere Angriffsvektoren.

Im Fall Mixed Active Content kann ein Man-in-the-Middle-Angreifer die Anforderung für den HTTP-Inhalt abfangen. Der Angreifer kann die Antwort auch neu schreiben, um bösartigen JavaScript-Code einzubinden. Bösartige aktive Inhalte können die Anmeldeinformationen des Benutzers stehlen, sensible Daten über den Benutzer erfassen oder versuchen, Malware auf dem System des Benutzers zu installieren (z.B. durch Nutzung von Schwachstellen im Browser oder seinen Plugins).

Das Risiko, das mit gemischten Inhalten verbunden ist, hängt von der Art der Website ab, die der Nutzer besucht, und davon, wie sensibel die Daten sind, die dieser Website ausgesetzt sind. Die Webseite kann öffentliche Daten enthalten, die für die Welt sichtbar sind, oder private Daten, die nur bei Authentifizierung sichtbar sind. Wenn die Webseite öffentlich ist und keine sensiblen Daten über den Benutzer hat, bietet die Verwendung von gemischten aktiven Inhalten dem Angreifer dennoch die Möglichkeit, den Benutzer auf andere HTTP-Seiten weiterzuleiten und HTTP-Cookies von diesen Seiten zu stehlen.

Active content Auflistung

Dieser Abschnitt listet einige Arten von HTTP Requests auf, welche als aktive Inhalte gesehen werden:

Warnungen in der Webkonsole

Die Firefox Webkonsole zeigt in der Konsole einen Mixed Content-Warnhinweis wenn die Seite ein solches Problem hat. Die über HTML geladene Mixed Content- Ressource wird in Rot angezeigt, zusammen mit dem Text "mixed content" , der ein Link zu dieser Seite ist.

Screen shot einer Web Konsole die eine Mixed Content Warnung anzeigt.

As well as finding these warnings in the Web Console, you could use Content Security Policy (CSP) to report issues. Or you could use an online crawler like SSL-check or Missing Padlock or a desktop crawler like HTTPSChecker that will check your website recursively and find links to insecure content.

Beginnend mit Firefox 23 wird aktiver Mixed Content in der Standardeinstellung geblockt (und angezeigter Mixed Content kann optional geblockt werden). Um es Web-Entwicklern einfacher zu machen, Mixed Content- Fehler zu finden, sind alle geblockten Mixed Content- Anfragen im Sicherheitsfenster der Webkonsole aufgeführt.

A screenshot of blocked mixed content errors in the Security Pane of the Web Console

Um diese Art von Fehler zu beheben sollten alle Anfragen an HTTP-Inhalte entfernt und durch Inhalte ersetzt werden, die über HTTPS bereitgestellt werden. Einige gängige Beispiele für Mixed Content sind JavaScript-Dateien, Stylesheets, Bilder, Videos und andere Medien.

Anmerkung: Seit Firefox 55 ist das Laden von Mixed Content für http://127.0.0.1/ erlaubt (siehe Bug 903966). Chrome erlaubt Mixed Content für http://127.0.0.1/ und http://localhost/. Safari erlaubt keinerlei Mixed Content.

Siehe auch

Schlagwörter des Dokuments und Mitwirkende

Mitwirkende an dieser Seite: Dschubba, Freddy18, DirkHoffmann, JBX, ITorange, madisonbahner
Zuletzt aktualisiert von: Dschubba,