Was ist gemischter Inhalt? | HTTP vs. HTTPS

Gemischter Inhalt tritt auf, wenn TLS-geschützte Sites Elemente enthalten, die über das unsichere HTTP-Protokoll geladen werden. Dies schafft eine Sicherheitslücke, die Angreifer ausnutzen können.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Die Bedingungen, unter denen gemischte Inhalte entstehen beschreiben
  • Zwischen passiven und aktiven gemischten Inhalten unterscheiden
  • Verstehen, wie Instanzen gemischter Inhalte verhindert werden können

Link zum Artikel kopieren

Was sind gemischte Inhalte?

Mit TLS (auch als SSL bezeichnet) wird die Internetkommunikation end-to-end verschlüsselt, wodurch ein sichereres Surferlebnis entsteht. Benutzer können TLS-verschlüsselte Sites leicht identifizieren, da die URL „https://“ anstelle von „http://“ enthält. In einigen Fällen kann eine HTTPS- Site jedoch auch einige Elemente enthalten, die mit dem Klartext-HTTP-Protokoll geladen werden. Dadurch entsteht ein Zustand, der als gemischter Inhalt und manchmal als „HTTP über HTTPS“ bezeichnet wird.

Mixed Content in a Browser

Bei gemischten Inhalten haben Benutzer den Eindruck, dass sie sich in einer sicheren, verschlüsselten Verbindung befinden, da sie auf einer HTTPS-geschützten Site surfen. Die unverschlüsselten Elemente der Seite verursachen jedoch Sicherheitslücken und machen diese Benutzer für böswillige Aktivitäten verwundbar, z. B. nicht autorisiertes Tracking und Man-in-the-Middle-Angriffe. Der Schweregrad der Sicherheitsanfälligkeit hängt davon ab, ob der gemischte Inhalt passiv oder aktiv ist.

Was ist der Unterschied zwischen passiven/angezeigten gemischten Inhalten und aktiven gemischten Inhalten?

Passiver/angezeigter gemischter Inhalt: In diesem Fall ist der unverschlüsselte HTTP-Inhalt auf eingekapselte Elemente auf der Site beschränkt, die nicht mit dem Rest der Seite interagieren können, z. B. Bilder oder Videos. Ein Angreifer kann beispielsweise ein über HTTP geladenes Bild blockieren oder ersetzen, den Rest der Seite jedoch nicht ändern.

Aktiver gemischter Inhalt: In diesem Fall werden Elemente oder Abhängigkeiten, die mit der gesamten Webseite interagieren und diese ändern können, über HTTP bereitgestellt. Dazu gehören Abhängigkeiten wie JavaScript-Dateien und API-Anforderungen.

Aktive gemischte Inhalte stellen eine schwerwiegendere Bedrohung dar als passive/angezeigte gemischte Inhalte. Bei einer Kompromittierung kann ein Angreifer eine gesamte Webseite übernehmen, vertrauliche Benutzereingaben wie Anmeldeinformationen sammeln, dem Benutzer eine gefälschte Seite bereitstellen oder den Benutzer auf die Website eines Angreifers umleiten.

Die meisten modernen Webbrowser bieten in der Entwicklerkonsole Warnungen für gemischte Inhalte und blockieren die gefährlicheren Arten von gemischten Inhalten. Jeder Browser hat seine eigenen Regeln, aber im Allgemeinen ist es viel wahrscheinlicher, dass aktive gemischte Inhalte blockiert werden.

Obwohl passiver/angezeigter gemischter Inhalt eine geringere Bedrohung darstellt, bietet er Angreifern dennoch die Möglichkeit, Privatsphäre zu kompromittieren und Benutzeraktivität zu verfolgen. Da viele Browser einige Formen von passiven gemischten Inhalten zulassen und Benutzer nur in der Entwicklerkonsole Warnungen zu gemischten Inhalten erhalten, wissen viele Benutzer nicht, dass sie gemischten Inhalten ausgesetzt sind.

Mixed Content Errors in Chrome

Benutzer in veralteten Webbrowsern sind besonders anfällig, da diese Browser gemischte Inhalte möglicherweise überhaupt nicht blockieren.

Warum blockieren Browser nicht einfach alle gemischten Inhalte?

Leider bieten viele beliebte Websites gemischte Inhalte in der einen oder anderen Form an. Ein Webbrowser, der alle gemischten Inhalte blockiert, würde seinen Benutzern eine sehr limitierte Version des Webs bereitstellen. Bis mehr Websites dieses Problem beheben, müssen Browser Kompromisse eingehen, indem sie einige der weniger schwerwiegenden Formen gemischter Inhalte zulassen.

Wie können Fehler rund um gemischte Inhalte behoben werden?

Webentwickler tragen die Verantwortung für die Beseitigung gemischter Inhalte. Im Laufe der Zeit sind Webbrowser in Bezug auf gemischte Inhalte immer restriktiver geworden, und dieser Trend wird sich nur fortsetzen. Entwickler müssen gemischte Inhalte daher unbedingt entfernen, wenn Webbrowser ihre Website weiterhin anzeigen sollen.

Die Korrektur im Fall von gemischten Inhalten ist recht einfach: Webentwickler müssen sicherstellen, dass jede Ressource auf ihrer Seite über HTTPS geladen wird. In der Praxis kann sich dies als schwierig erweisen, da moderne Websites häufig mehrere verschiedene Ressourcen von verschiedenen Orten laden.

Ein gutes Tool für Entwickler, um alle Instanzen gemischter Inhalte auf ihren Seiten zu erkennen, ist die Google Chrome-Entwicklerkonsole. Entwickler können ihren Quellcode auch auf Instanzen von Ressourcen wie API-Aufrufen und Bibliotheken überprüfen, die unter Verwendung einer URL „http://“ geladen werden. In einigen Fällen ist die Lösung einfach das Ersetzen der URL 'http://' durch 'https://'. Zunächst muss jedoch überprüft werden, ob eine HTTPS-Version dieser Ressource verfügbar ist. Wenn eine verschlüsselte Version der Ressource nicht verfügbar ist, muss sie entweder ersetzt oder ganz entfernt werden.

Schauen Sie sich das Cloudflare-Tool an, um SSL-Probleme einschließlich gemischter Inhalte zu identifizieren: https://www.cloudflare.com/diagnostic-center/