MDN will switch to a new design later today, a sneak peek: https://blog.mozilla.org/opendesign/mdns-new-design-beta/

Gemengde inhoud

Wanneer een gebruiker een pagina bezoekt die via HTTPS wordt aangeboden, is de verbinding met de webserver met TLS versleuteld en daardoor beschermd tegen de meeste ‘sniffers’ (afluisteraars) en man-in-the-middle-aanvallen. Als de HTTPS-pagina inhoud bevat die via normale HTTP in niet-versleutelde tekst is opgehaald, dan is de verbinding slechts gedeeltelijk versleuteld; de onversleutelde inhoud is toegankelijk voor afluisteraars en kan door man-in-the-middle-aanvallers worden aangepast, en de verbinding is daarom niet meer beschermd. Wanneer een pagina dergelijk gedrag vertoont, wordt deze een pagina met gemengde inhoud genoemd.

Typen gemengde inhoud

Er zijn twee categorieën voor gemengde inhoud: gemengde passieve/vensterinhoud en gemengde actieve inhoud. Het verschil ligt in het dreigingsniveau van het ongunstigste scenario als inhoud als onderdeel van een man-in-the-middle-aanval wordt herschreven. In het geval van passieve inhoud is de dreiging lager (de pagina kan misleidende inhoud bevatten, of de cookies van de gebruiker kunnen worden gestolen). In het geval van actieve inhoud kan de dreiging leiden tot phishing, openbaring van gevoelige gegevens, omleiding naar kwaadwillende websites, etc.

Gemengde passieve/vensterinhoud

Gemengde passieve/vensterinhoud is inhoud die over HTTP wordt aangeboden en in een HTTPS-pagina is opgenomen, maar die andere delen van de webpagina niet kan aanpassen. Een aanvaller kan bijvoorbeeld een afbeelding die over HTTP wordt aangeboden vervangen door een ongepaste afbeelding of bericht aan de gebruiker. Ook kan de aanvaller informatie over de activiteiten van de gebruiker afleiden door te kijken welke afbeeldingen bij de gebruiker worden aangeboden; vaak worden afbeeldingen alleen op een specifieke pagina binnen een website aangeboden. Als de aanvaller HTTP-aanvragen voor bepaalde afbeeldingen observeert, kan deze vaststellen welke webpagina de gebruiker bezoekt.

Lijst van passieve inhoud

Deze sectie vermeldt alle typen HTTP-aanvragen die als passieve inhoud worden beschouwd:

  • <img> (src-attribuut)
  • <audio> (src-attribuut)
  • <video> (src-attribuut)
  • <object> subbronnen (wanneer een <object> HTTP-aanvragen uitvoert)

Gemengde actieve inhoud

Gemengde actieve inhoud is inhoud die toegang heeft tot alle of delen van het documentobjectmodel (DOM) van de HTTPS-pagina. Dit type gemengde inhoud kan het gedrag van de HTTPS-pagina aanpassen en mogelijk gevoelige gegevens van de gebruiker stelen. Vandaar dat, naast de hierboven beschreven risico’s van gemengde vensterinhoud, gemengde actieve inhoud kwetsbaar is voor enkele andere aanvalsvectoren.

In het geval van gemengde actieve inhoud kan een man-in-the-middle-aanvaller de aanvraag voor de HTTP-inhoud onderscheppen. Ook kan de aanvaller het antwoord zodanig herschrijven dat dit kwaadwillende JavaScript-code bevat. Kwaadwillende actieve inhoud kan de referenties van de gebruiker stelen, gevoelige gegevens over de gebruiker verkrijgen, of proberen malware op het systeem van de gebruiker te installeren (door bijvoorbeeld kwetsbaarheden in de browser of plug-ins ervan te misbruiken).

Het aan gemengde inhoud gekoppelde risico is niet afhankelijk van het type website dat de gebruiker bezoekt en hoe gevoelig de gegevens kunnen zijn die bij die website worden opgegeven. De webpagina kan openbare gegevens bevatten die voor de hele wereld zichtbaar zijn, of privégegevens die dat alleen zijn wanneer een gebruiker is geauthenticeerd. Als de webpagina openbaar is en geen gevoelige gegevens over de gebruiker bevat, biedt het gebruik van gemengde actieve inhoud toch de mogelijkheid voor de aanvaller om de gebruiker naar andere HTTP-pagina’s om te leiden en van die websites HTTP-cookies te stelen.

Voorbeelden van actieve inhoud

Deze sectie vermeldt enkele typen HTTP-aanvragen die als actieve inhoud worden beschouwd:

Andere brontypen zoals weblettertypen en workers kunnen als actieve gemengde inhoud worden beschouwd, net zoals in Chromium.

Waarschuwingen in de Webconsole

De Webconsole van Firefox geeft in het paneel Netwerk een waarschuwingsbericht over gemengde inhoud weer zodra een pagina op uw website dit probleem bevat. De bron van de gemengde inhoud die via HTTP werd geladen verschijnt in het rood, samen met de tekst ‘Gemengde inhoud’, die naar deze pagina verwijst.

Schermafbeelding van de webconsole die een waarschuwing over gemengde inhoud weergeeft

Naast het zoeken naar deze waarschuwingen in de Webconsole kunt u Content Security Policy (CSP) gebruiken om problemen te melden, of een ‘website crawler’ om problemen met uw website te vinden, zoals HTTPS Checker of Mixed Content Scan.

Vanaf Firefox 23 wordt gemengde actieve inhoud standaard geblokkeerd (en kan gemengde vensterinhoud worden geblokkeerd door een voorkeurswaarde in te stellen). Om het vinden van fouten met betrekking tot gemengde inhoud voor webontwikkelaars makkelijker te maken, worden alle geblokkeerde aanvragen voor gemengde inhoud in het paneel Beveiliging van de Webconsole geregistreerd, zoals hieronder aangegeven:

Een schermafbeelding van fouten over geblokkeerde gemengde inhoud in het paneel Beveiliging van de Webconsole

Om dit type fout te verhelpen, dienen alle aanvragen voor HTTP-inhoud te worden verwijderd en vervangen door inhoud die over HTTPS wordt aangeboden. Onder enkele gebruikelijke voorbeelden van gemengde inhoud vallen JavaScript-bestanden, afbeeldingen, video’s en andere media.

Noot: sinds Firefox 55 wordt het laden van gemengde inhoud op localhost toegestaan (zie bug 903966).

Zie ook

Documentlabels en -medewerkers

 Aan deze pagina hebben bijgedragen: Tonnes, kwetal, werner291
 Laatst bijgewerkt door: Tonnes,