Was ist „Gemischter Inhalt“ und warum blockiert Chrome ihn?

Google Chrome blockiert bereits einige Arten von „gemischten Inhalten“ im Web. Jetzt Google angekündigt Es wird noch ernster: Ab Anfang 2020 blockiert Chrome standardmäßig alle gemischten Inhalte und zerstört einige vorhandene Webseiten. Hier ist, was das bedeutet.

Was ist gemischter Inhalt?

Hier gibt es zwei Arten von Inhalten: Inhalte, die über eine sichere, verschlüsselte HTTPS-Verbindung bereitgestellt werden, und Inhalte, die über eine unverschlüsselte HTTP-Verbindung bereitgestellt werden. Wenn Sie HTTPS verwenden, können Inhalte während der Übertragung nicht ausspioniert oder manipuliert werden. Aus diesem Grund bieten kritische Websites eine Verschlüsselung beim Umgang mit Finanzinformationen oder privaten Daten.

Das Web wird auf sichere HTTPS-Websites umgestellt. Wenn Sie ohne Verschlüsselung eine Verbindung zu einer älteren HTTP-Website herstellen, warnt Google Chrome Sie jetzt, dass diese Websites „nicht sicher“ sind. Google blendet jetzt sogar standardmäßig den „https://“-Indikator aus, da Websites einfach standardmäßig sicher sein sollten. Und der neue HTTP/3-Standard wird über eine integrierte Verschlüsselung verfügen.

Einige Webseiten können jedoch weder vollständig HTTPS noch vollständig HTTP sein. Einige Webseiten werden über eine sichere HTTPS-Verbindung bereitgestellt, ziehen jedoch Bilder, Skripte oder andere Ressourcen über eine unverschlüsselte HTTP-Verbindung ein. Solche Webseiten haben „gemischten Inhalt“, weil sie nicht vollständig sicher sind. Die Webseite selbst konnte nicht manipuliert werden, aber sie könnte ein Skript, ein Bild oder einen Iframe (eine Webseite in einem „Frame“ auf einer anderen Webseite) einziehen, die manipuliert worden sein könnten.

Warum gemischter Inhalt schlecht ist

Gemischte Inhalte sind verwirrend. Sie sehen sich irgendwie eine Webseite an, die sowohl sicher als auch nicht sicher ist. Beispielsweise könnte eine normalerweise sichere Webseite eine JavaScript-Datei über HTTP abrufen. Dieses Skript könnte modifiziert werden – zum Beispiel, wenn Sie sich in einem öffentlichen Wi-Fi-Netzwerk befinden, das nicht vertrauenswürdig ist –, um viele unangenehme Dinge auf der Webseite zu tun, von der Überwachung Ihrer Tastenanschläge bis zum Einfügen eines Tracking-Cookies.

Während Skripte und iframes – „aktive Inhalte“ – die gefährlichsten sind, können selbst Bilder, Videos und gemischte Audioinhalte riskant sein. Stellen Sie sich zum Beispiel vor, Sie sehen sich eine sichere Website für den Aktienhandel an, die über HTTP ein Bild des Aktienverlaufs abruft. Dieses Bild ist nicht sicher – es könnte während der Übertragung manipuliert worden sein, um falsche Details anzuzeigen. Da es über eine unverschlüsselte Verbindung bereitgestellt wurde, weiß jeder, der die Daten während der Übertragung ausspioniert, wahrscheinlich, welche Aktie Sie sich ansehen.

Es ist eine schlechte Idee, solche Inhalte zu mischen. Wenn eine Webseite HTTPS verwendet, sollten alle ihre Ressourcen ebenfalls über HTTPS abgerufen werden. Es ist nur ein historischer Zufall – das Web begann mit HTTP und Websites wurden nach und nach auf HTTPS umgestellt. Wie sie es taten, aktualisierten sie nicht immer, um HTTPS-Ressourcen überall zu verwenden. Oder sie waren möglicherweise von einer Drittanbieterressource abhängig, die zu diesem Zeitpunkt HTTPS nicht unterstützte.

Jetzt, da Google und andere Browseranbieter gemischte Inhalte erschweren und entmutigen, müssen Websites Dinge bereinigen, damit ihre Webseiten standardmäßig weiterhin funktionieren.

Was genau ändert sich in Chrome?

Chrome blockiert derzeit gemischte Skripte und Iframes. In Chrome 80, das im Januar 2020 für Early-Release-Kanäle veröffentlicht wird, blockiert Chrome gemischte Audio- und Videoressourcen. Technisch wird versucht, sie stattdessen über eine sichere HTTPS-Verbindung zu laden und sie zu blockieren, wenn dies nicht der Fall ist. Gemischte Bilder werden geladen, aber Chrome sagt, dass die Webseite «Nicht sicher» ist. In Chrome 81 hört Chrome auch auf, gemischte Bilder zu laden. Benutzer können das Laden des gemischten Inhalts zulassen, dies wird jedoch nicht standardmäßig getan.

All dies trägt dazu bei, das Web sicherer zu machen. In einem Blog-Beitrag von Google heißt es, dass die Meldung „Nicht sicher“ „Websites motivieren wird, ihre Bilder auf HTTPS zu migrieren“.

So können Sie mit Chrome gemischte Inhalte entsperren

Chrome blockiert bereits einige Arten von gemischten Inhalten mit einem Schildsymbol in der Adressleiste und einer Meldung „Unsicherer Inhalt blockiert“. Sie können sehen, wie es darauf funktioniert Beispielseite für gemischte Inhalte von Google erstellt. Um beispielsweise ein Mixed-Content-Skript zu entsperren, müssen Sie auf einen Link namens „Unsichere Skripte laden“ klicken.

Wenn Sie der Ausführung des gemischten Inhalts zustimmen, ändert sich die Webseite von Sicher zu Nicht sicher.

Google wird dies in Chrome 79 vereinfachen, das irgendwann im Dezember 2019 veröffentlicht wird. Sie müssen auf das Schlosssymbol links neben der Adresse der Seite klicken, auf «Site-Einstellungen» klicken und dann gemischte Inhalte für diese Site entsperren.

Die Option wird mehr vergraben, aber das ist der Punkt: Die meisten Leute sollten niemals gemischte Inhalte für eine Site aktivieren. Website-Entwickler müssen ihre Websites reparieren, um Ressourcen sicher bereitzustellen. Diese Option stellt sicher, dass jeder, der eine ältere Unternehmenswebsite verwendet, weiterhin darauf zugreifen kann, auch wenn gemischte Inhalte für alle deaktiviert sind.

Wenn Sie eine Website benötigen, die dies erfordert, machen Sie sich keine Sorgen: Google hat kein Datum bekannt gegeben, an dem die Option zum Laden gemischter Inhalte in Chrome entfernt wird. Der Webbrowser von Google blockiert standardmäßig alle gemischten Inhalte, bietet jedoch auf absehbare Zeit weiterhin die Möglichkeit, gemischte Inhalte zu aktivieren.

Was ist mit anderen Browsern?

Chrome ist nicht allein. Firefox blockiert auch gemischte Inhalte wie Skripte und Iframes und erfordert, dass Sie auf ein „Schutz vorerst deaktivieren”-Einstellung, um sie wieder zu aktivieren. Wir erwarten, dass Mozilla in die Fußstapfen von Google tritt. Apples Safari ist aggressiv gegenüber Blockieren von gemischten Inhalten, auch.

Und natürlich wird der neue Edge-Browser von Microsoft auf dem Chromium-Code basieren, der die Grundlage für Google Chrome bildet und sich wie Chrome verhalten wird.