Connect with us

Wie man

Was genau ist eine Mixed Content-Warnung?

Was genau ist eine Mixed Content-Warnung?

„Diese Website enthält unsichere Inhalte;“ „nur sichere Inhalte werden angezeigt“; „Firefox hat Inhalte blockiert, die nicht sicher sind.“ Sie werden gelegentlich beim Surfen im Internet auf diese Warnungen stoßen, aber was genau bedeuten sie?

Es gibt zwei Arten von gemischtem Inhalt – einer ist schlechter als der andere, aber keiner ist gut. Warnungen zu gemischten Inhalten weisen darauf hin, dass mit einer von Ihnen besuchten Webseite etwas nicht stimmt.

Was ist gemischter Inhalt?

Dies alles hängt mit dem Unterschied zwischen HTTP und HTTPS zusammen. HTTP ist die am häufigsten verwendete Verbindungsart. Wenn Sie eine Website mit dem HTTP-Protokoll besuchen, ist Ihre Verbindung zur Website nicht gesichert. Jeder, der den Datenverkehr belauscht, kann die von Ihnen angezeigte Seite und alle Daten sehen, die Sie hin und her senden.

Deshalb haben wir HTTPS, was wörtlich „HTTP Secure“ bedeutet. HTTPS stellt eine sichere Verbindung zwischen Ihnen und dem Webserver her. Die Verbindung ist verschlüsselt und authentifiziert, sodass niemand Ihren Datenverkehr ausspionieren kann und Sie sicher sind, dass Sie mit der richtigen Website verbunden sind. Dies ist äußerst wichtig, um Kontopasswörter und Online-Zahlungsdaten zu sichern und sicherzustellen, dass niemand sie abhören kann.

Warnungen zu gemischten Inhalten weisen auf ein Problem mit einer Webseite hin, auf die Sie über HTTPS zugreifen. Die HTTPS-Verbindung sollte sicher sein, aber der Quellcode der Webseite zieht andere Ressourcen mit dem unsicheren HTTP-Protokoll, nicht HTTPS. Die Adressleiste Ihres Webbrowsers zeigt an, dass Sie mit HTTPS verbunden sind, aber die Seite lädt auch Ressourcen mit dem unsicheren HTTP-Protokoll im Hintergrund. Um sicherzustellen, dass die von Ihnen verwendete Webseite nicht vollständig sicher ist, zeigen Browser eine Warnung an, die besagt, dass die Seite sowohl HTTPS- als auch HTTP-Inhalte enthält – also gemischte Inhalte.

Warum das gefährlich ist

Hier ist, warum dies tatsächlich gefährlich ist. Angenommen, Sie befinden sich auf einer Zahlungsseite und sind dabei, Ihre Kreditkartennummer einzugeben. Auf der Zahlungsseite wird darauf hingewiesen, dass es sich um eine verschlüsselte HTTPS-Verbindung handelt, Sie sehen jedoch eine Warnung zu gemischten Inhalten. Dies sollte eine rote Fahne heben. Es ist möglich, dass die von Ihnen eingegebenen Zahlungsdaten von unsicheren Inhalten erfasst und über eine unsichere Verbindung gesendet werden, wodurch der Vorteil der HTTPS-Sicherheit verloren geht – jemand könnte Ihre sensiblen Daten abhören und sehen.

Da HTTP den Webserver nicht auf die gleiche Weise wie HTTPS authentifiziert, ist es auch möglich, dass eine sichere HTTPS-Site, die ein Skript von einer HTTP-Site einzieht, dazu verleitet werden kann, das Skript eines Angreifers abzurufen und auf der ansonsten sicheren Site auszuführen. Wenn HTTPS verwendet wird, haben Sie mehr Sicherheit, dass der Inhalt nicht manipuliert wurde und legitim ist.

In beiden Fällen entfällt dadurch der Vorteil einer sicheren HTTPS-Verbindung. Es ist möglich, dass eine Website eine Warnung vor unsicheren Inhalten enthält und Ihre persönlichen Daten dennoch ordnungsgemäß schützt, aber wir wissen es wirklich nicht genau und sollten das Risiko nicht eingehen – deshalb warnen Sie Webbrowser, wenn Sie auf eine Website stoßen, die dies nicht ist richtig codiert.

Gemischte aktive Inhalte vs. gemischte passive Inhalte

Es gibt eigentlich zwei Arten von Mixed Content. Die gefährlichere ist „gemischter aktiver Inhalt“ oder „gemischtes Scripting“. Dies tritt auf, wenn eine HTTPS-Site eine Skriptdatei über HTTP lädt. Die Skriptdatei kann jeden beliebigen Code auf der gewünschten Seite ausführen, sodass das Laden eines Skripts über eine unsichere Verbindung die Sicherheit der aktuellen Seite vollständig ruiniert. Webbrowser blockieren diese Art von gemischtem Inhalt im Allgemeinen vollständig.

Der zweite Typ ist „gemischter passiver Inhalt“ oder „gemischter Anzeigeinhalt“. Dies tritt auf, wenn eine HTTPS-Site etwas wie eine Bild- oder Audiodatei über eine HTTP-Verbindung lädt. Diese Art von Inhalten kann die Sicherheit der Seite nicht auf die gleiche Weise ruinieren, sodass Webbrowser nicht so hart reagieren. Dies ist jedoch immer noch eine schlechte Sicherheitspraxis, die Probleme verursachen kann. Ein Angreifer könnte beispielsweise das Bild durch ein irreführendes Bild ersetzen und so eine theoretisch sichere Seite manipulieren. Eine Bildladeanforderung enthält auch Header, die Cookie-Informationen enthalten, die mit einer Website verknüpft sind, sodass selbst das Laden eines Bildes über eine unsichere Verbindung zu Problemen führen kann. Webbrowser zeigen oft ein Warnsymbol oder eine Meldung an, anstatt den Inhalt vollständig zu blockieren, da diese Art von gemischtem Inhalt auf echten Websites immer noch so häufig vorkommt. In Chrome sehen Sie ein Vorhängeschloss mit einem gelben Dreieck.

Was ist zu tun, wenn eine Warnung zu gemischten Inhalten angezeigt wird?

Webbrowser blockieren im Allgemeinen die gefährlichsten Arten von gemischtem Inhalt standardmäßig. Entsperren Sie es nicht. Wenn Sie sich nicht bei einer Website anmelden oder Online-Zahlungsdaten eingeben können, ohne den gemischten Inhalt zu laden, sollten Sie die Website einfach verlassen und Ihre Daten nicht auf einer unsicheren Website eingeben. Informieren Sie die Website-Besitzer, dass ihre Website unsicher und beschädigt ist.

Wenn Sie eine Warnung sehen, dass eine Seite andere Ressourcen enthält, die möglicherweise nicht sicher sind, ist es wahrscheinlich trotzdem sicher, sich anzumelden. Es ist kein gutes Zeichen, wenn eine so wichtige Website wie Ihre Bank dieses Problem hat, aber diese Art von Warnungen zu gemischten Inhalten ist sehr verbreitet.

Auf der anderen Seite sind Mixed-Content-Warnungen keine große Sache, wenn Sie auf eine Website zugreifen, die kein HTTPS benötigt. Eine Mixed-Content-Warnung bedeutet lediglich, dass eine Webseite garantiert von der HTTPS-Sicherheit profitiert – mit anderen Worten, im schlimmsten Fall ist die von Ihnen besuchte Webseite so unsicher wie eine Standard-HTTP-Site. Wenn Sie also auf eine Website wie Wikipedia zugreifen, um nur einige Artikel zu lesen, und Sie eine Warnung mit gemischtem Inhalt sehen, sollten Sie sich nicht allzu darum kümmern. Im schlimmsten Fall ist es genauso unsicher, als ob Sie Artikel auf Wikipedia über eine Standard-HTTP-Verbindung lesen würden, was Sie sowieso problemlos tun könnten.

Warum einige Webseiten dieses Problem haben

Dieser Fehler wird nur angezeigt, wenn ein Problem mit der Codierung einer Webseite auftritt. Wenn eine Webseite über HTTPS bereitgestellt wird, sollte sie auch das HTTPS-Protokoll verwenden, um Skriptdateien und andere erforderliche Inhalte einzulesen. Webentwickler sollten ihre Webseiten testen und sicherstellen, dass sie keine beängstigend aussehenden Warnungen in den Browsern der Benutzer auslösen. Wenn Sie ein Benutzer sind, können Sie nichts dagegen tun – es liegt am Website-Besitzer, das Problem zu beheben.

Als Webentwickler müssen Sie lediglich sicherstellen, dass Ihre HTTPS-Seiten Inhalte von HTTPS-URLs laden, nicht von HTTP-URLs. Eine Möglichkeit, dies zu tun, besteht darin, dass Ihre gesamte Website nur über SSL funktioniert, sodass alles nur HTTPS verwendet.

Wenn Sie eine Seite erstellen möchten, die über HTTP oder HTTPS bereitgestellt werden kann und automatisch das Richtige tut, können Sie „protokollrelative URLs“ verwenden, damit der Browser des Benutzers automatisch HTTP oder HTTPS auswählt, je nachdem, welches Protokoll der Benutzer verwendet verbunden mit. Eine protokollrelative URL zum Laden eines Bildes würde beispielsweise so aussehen . Der Browser fügt automatisch entweder http: oder https: am Anfang der URL hinzu, je nachdem, was angemessen ist. Natürlich müssen Sie sicherstellen, dass die Site, auf die Sie verlinken, die Ressource sowohl über HTTP als auch über HTTPS anbietet.

Webbrowser blockieren automatisch gemischte Inhalte oder Ihren Schutz, und das ist der Grund. Wenn Sie eine sichere Website verwenden müssen, die nicht richtig funktioniert, es sei denn, Sie aktivieren gemischte Inhalte, sollte der Eigentümer der Website dies beheben.

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tendencia