Diese Übersetzung ist in Arbeit.

Wenn ein Benutzer eine Seite betrachtet, die über HTTPS bereit gestellt wird, ist die Verbindung mit TLS verschlüsselt und deshalb geschützt gegen Sniffer und Man-in-the-Middle-Angriffe.

Wenn die HTTPS-Seite Inhalte enthält, die über reguläres HTTP im Klartext abgerufen werden, ist die Verbindung nur teilweise verschlüsselt: Der unverschlüsselte Inhalt ist zugänglich für Sniffer und kann durch Man-in-the-Middle-Angriffe verändert werden, weshalb die Verbindung nicht mehr geschützt ist. Eine Website, die dieses Verhalten aufweist, wird als Mixed Content-Seite bezeichnet.

Kategorien von Mixed Content

Es gibt zwei Kategorien für den gemischten Inhalt: Mixed Passive/Display Content und Mixed Active Content. Der Unterschied liegt in der Bedrohungsstufe (threat level), wobei im schlimmsten Fall (worst case scenario), der sogenannte „man in the middle“ Angriff ist. Im Falle eines passiven Inhalts ist die Bedrohung gering, die Webseite erscheint mit fehlerhaften oder irreführenden Inhalten. Bei aktiven Inhalten liegt die Bedrohung im Phishing, also zur Offenlegung vertraulicher Daten sowie zur Weiterleitung an bösartige Webseiten oder ähnliches.

Mixed passive/display content

Bei Mixed Passive/Display Content ist der Inhalt (z.B. Bilder), der über HTTP bereitgestellt wird, in einer HTTPS Webseite enthalten. Dieser kann die HTTPS- Seite nicht verändern, wobei ein Angreifer das über HTTP bereitgestellte Bild durch ein unangemessenes Bild/Nachricht ersetzen kann und/oder auch Informationen über die Aktivitäten des Besuchers ableiten, indem er beobachtet, welche Bilder dem Besucher geliefert werden. Oft werden Bilder nur auf einer bestimmten Seite, innerhalb einer HTTPS-Webseite, geschaltet. Hier kann dann der Angreifer die HTTP Anforderungen an bestimmten Bildern auswerten und ist in der Lage festzustellen, welche Webseite der Benutzer besucht.

Passive content Auflistung

Dieser Abschnitt listet alle Arten von HTTP-Anfragen auf, die als passiver Inhalt betrachtet werden:

  • <img> (src Attribut)
  • <audio> (src Attribut)
  • <video> (src Attribut)
  • <object> subresources (wenn ein <object>  HTTP Requests ausführt)

Mixed active content

Mixed Active Content ist ein Inhalt, der Zugriff auf das gesamte oder Teile des Dokumentenobjektmodells der HTTPS-Seite hat. Diese Art von gemischten Inhalten kann das Verhalten der HTTPS-Seite verändern und möglicherweise sensible Daten vom Benutzer stehlen. Zusätzlich zu den oben beschriebenen Risiken für Mixed Display Content ist Mixed Active Content daher anfällig für einige andere Angriffsvektoren.

In the Mixed Active Content case, a man-in-the-middle attacker can intercept the request for the HTTP content. The attacker can also rewrite the response to include malicious JavaScript code. Malicious active content can steal the user's credentials, acquire sensitive data about the user, or attempt to install malware on the user's system (by leveraging vulnerabilities in the browser or its plugins, for example).

The risk involved with mixed content does depend on the type of website the user is visiting and how sensitive the data exposed to that site may be. The webpage may have public data visible to the world or private data visible only when authenticated. If the webpage is public and has no sensitive data about the user, using Mixed Active Content still provides the attacker with the opportunity to redirect the user to other HTTP pages and steal HTTP cookies from those sites.

Active content list

This section lists some types of HTTP requests which are considered active content:

Warnungen in der Webkonsole

Die Firefox Webkonsole zeigt in der Konsole einen Mixed Content-Warnhinweis wenn die Seite ein solches Problem hat. Die über HTML geladene Mixed Content- Ressource wird in Rot angezeigt, zusammen mit dem Text "mixed content" , der ein Link zu dieser Seite ist.

Screen shot einer Web Konsole die eine Mixed Content Warnung anzeigt.

As well as finding these warnings in the Web Console, you could use Content Security Policy (CSP) to report issues. Or you could use an online crawler like SSL-check or Missing Padlock or a desktop crawler like HTTPSChecker that will check your website recursively and find links to insecure content.

Beginnend mit Firefox 23 wird aktiver Mixed Content in der Standardeinstellung geblockt (und angezeigter Mixed Content kann optional geblockt werden). Um es Web-Entwicklern einfacher zu machen, Mixed Content- Fehler zu finden, sind alle geblockten Mixed Content- Anfragen im Sicherheitsfenster der Webkonsole aufgeführt.

A screenshot of blocked mixed content errors in the Security Pane of the Web Console

To fix this type of error, all requests to HTTP content should be removed and replaced with content served over HTTPS. Some common examples of mixed content include JavaScript files, stylesheets, images, videos, and other media.

Anmerkung: Seid Firefox 55 ist das laden von Mixed Content für http://127.0.0.1/ erlaubt (siehe Bug 903966). Chrome erlaubt Mixed Content für http://127.0.0.1/ und http://localhost/. Safari erlaubt keinerlei Mixed Content.

See also

Schlagwörter des Dokuments und Mitwirkende

Mitwirkende an dieser Seite: Dschubba, Freddy18, DirkHoffmann, JBX, ITorange, madisonbahner
Zuletzt aktualisiert von: Dschubba,