We're looking for a user researcher to understand the needs of developers and designers. Is this you or someone you know? Check out the post: https://mzl.la/2IGzdXS

Diese Übersetzung ist unvollständig. Bitte helfen Sie, diesen Artikel aus dem Englischen zu übersetzen.

Wenn ein Benutzer eine Seite betrachtet, die über HTTPS bereit gestellt wird, ist die Verbindung mit TLS verschlüsselt und deshalb geschützt gegen Sniffer und Man-in-the-Middle-Angriffe.

Wenn die HTTPS- Seite Inhalte enthält, die über reguläres HTTP im Klartext abgerufen werden, ist die Verbindung nur teilweise verschlüsselt: Der unverschlüsselte Inhalt ist zugänglich für Sniffer und kann durch Man-in-the-Middle-Angriffe verändert werden, weshalb die Verbindung nicht mehr geschützt ist. Eine Website, die dieses Verhalten aufweist, wird als Mixed Content-Seite bezeichnet.

Webkonsole

Wird Firefox 16 gestartet, so erscheint auf der Webkonsole ein Mixed Content- Warnhinweis. Die über HTML geladene Mixed Content- Ressource wird in Rot angezeigt, zusammen mit dem Text "mixed content" , der ein Link zu dieser Seite ist.

 

Screen shot of the web console displaying a mixed content warning.

Um diesen Fehler zu beseitigen, sollten HTTP- Inhalte entfernt und durch solche ersetzt werden, die über HTTPS bereitgestellt werden. Häufige Beispiele für Mixed Content enthalten JavaScript- Dateien, Stylesheets, Bilder, Videos und andere Medien.

Wenn Firefox 23 gestartet wird, ist aktiver Mixed Content in der Standardeinstellung geblockt (und angezeigter Mixed Content kann optional geblockt werden). Um es für Web-Entwickler einfacher zu machen, Mixed Content- Fehler zu finden, sind alle geblockten Mixed Content- Anfragen im Sicherheitsfenster der Webkonsole aufgeführt.

 

 

A screenshot of blocked mixed content errors in the Security Pane of the Web Console

 

Types of Mixed Content

Es gibt zwei Kategorien für den gemischten Inhalt: Mixed Passive/Display Content und Mixed Active Content. Der Unterschied liegt in der Bedrohungsstufe (threat level), wobei im schlimmsten Fall (worst case scenario), der sogenannte „man in the middle“ Angriff ist. Im Falle eines passiven Inhalts ist die Bedrohung gering, die Webseite erscheint mit fehlerhaften oder irreführenden Inhalten. Bei aktiven Inhalten liegt die Bedrohung im Phishing, also zur Offenlegung vertraulicher Daten sowie zur Weiterleitung an bösartige Webseiten oder ähnliches.

 

Mixed passive/display content

 

Bei Mixed Passive/Display Content ist der Inhalt (z.B. Bilder), der über HTTP bereitgestellt wird, in einer HTTPS Webseite enthalten. Dieser kann die HTTPS- Seite nicht verändern, wobei ein Angreifer das über HTTP bereitgestellte Bild durch ein unangemessenes Bild/Nachricht ersetzen kann und/oder auch Informationen über die Aktivitäten des Besuchers ableiten, indem er beobachtet, welche Bilder dem Besucher geliefert werden. Oft werden Bilder nur auf einer bestimmten Seite, innerhalb einer HTTPS-Webseite, geschaltet. Hier kann dann der Angreifer die HTTP Anforderungen an bestimmten Bildern auswerten und ist in der Lage festzustellen, welche Webseite der Benutzer besucht.

 

Passive content list

Dieser Abschnitt listet alle Arten von HTTP-Anfragen auf, die als passiver Inhalt betrachtet werden:

  • <audio> (src attribute)
  • <img> (src attribute)
  • <video> (src attribute)
  • <object> subresources (when an <object> performs HTTP requests)

Mixed active content

Mixed Active Content is content that has access to all or parts of the Document Object Model of the HTTPS page. This type of mixed content can alter the behavior of the HTTPS page and potentially steal sensitive data from the user. Hence, in addition to the risks described for Mixed Display Content above, Mixed Active Content is vulnerable to a few other attack vectors.

In the Mixed Active Content case, a man-in-the-middle attacker can intercept the request for the HTTP content. The attacker can also rewrite the response to include malicious JavaScript code. Malicious active content can steal the user's credentials, acquire sensitive data about the user, or attempt to install malware on the user's system (by leveraging vulnerabilities in the browser or its plugins, for example).

The risk involved with mixed content does depend on the type of website the user is visiting and how sensitive the data exposed to that site may be. The webpage may have public data visible to the world or private data visible only when authenticated. If the webpage is public and has no sensitive data about the user, using Mixed Active Content still provides the attacker with the opportunity to redirect the user to other HTTP pages and steal HTTP cookies from those sites.

Active content list

This section lists some types of HTTP requests which are considered active content:

See also

 

Schlagwörter des Dokuments und Mitwirkende

Mitwirkende an dieser Seite: Freddy18, DirkHoffmann, JBX, ITorange, madisonbahner
Zuletzt aktualisiert von: Freddy18,