Zu Hauptinhalten wechseln
pdf?stylesheet=default
Blackboard Help

Browser-Sicherheit und Mixed Content

 Google Chrome und Mozilla FireFox verfügen über sogenannte Mixed Content Blocking-Verfahren, um Rechner vor Sicherheitsangriffen über ungesicherte Inhalte zu schützen, auf die von sicheren Seiten verwiesen wird.

Sicherheit: Mixed Content auf Websites

Was ist Mixed Content und Warum ist das wichtig?

Websites, die sensible Informationen wie Benutzernamen und Passwörter abfragen, verwenden häufig gesicherte (https) Verbindungen, um Inhalte an den Rechner, den Sie verwenden, zu übertragen und von Ihrem Rechner abzurufen. Wenn Sie eine Site über eine gesicherte Verbindung besuchen, prüfen sowohl Google Chrome als auch Mozilla Firefox, ob der Inhalt der Website sicher übertragen wurde. Wenn die Browser bestimmte Arten von Inhalten auf einer Site finden, die über ungesicherte (http) Kanäle übermittelt werden, verhindern sie automatisch, dass Inhalte geladen werden; in diesem Fall wird Ihnen in der Adresszeile ein Abschirmsymbol angezeigt.

Durch das Blockieren des Inhalts und somit von möglichen Sicherheitslücken verhindern Chrome und Firefox, dass Ihre Informationen auf der Website in die falschen Hände geraten.

Arten von Mixed Content

Es gibt zwei Arten von Inhalten, die die Benutzererfahrung hinsichtlich des Anzeigens einer Website beeinflussen, und bezüglich von Mixed Content verfügt jede dieser Arten über verschiedene Risikostufen:

Mixed Passive Content oder Display Content

Mixed Passive Content ist HTTP-Inhalt auf einer HTTPS-Website, der das Document Object Model (DOM) der Website nicht ändern kann.  Einfacher ausgedrückt hat Passive-HTTP-Inhalt nur begrenzte Auswirkungen auf der HTTPS-Website.  Beispielsweise könnte ein Angreifer ein Bild, das über HTTP bereitgestellt wird, durch ein anderes Bild oder eine irreführende Nachricht an den Benutzer ersetzen. Allerdings könnte der Angreifer nicht auf den Rest der Website zugreifen, nur auf den Bereich, in dem das Bild geladen wird.

Ein Angreifer könnte aus den Informationen über die Browsing-Aktivitäten des Benutzers bestimmte Schlüsse ziehen, indem er beobachtet, welche Bilder dem Benutzer bereitgestellt werden, und daraus die aufgerufenen Seiten ableitet. Durch das Beobachten der HTTP-Header, die gesendet werden, um das Bild abzurufen und bereitzustellen, könnte der Angreifer außerdem den User-Agent-String und sämtliche Cookies anzeigen, die mit der Domain einhergehen, von der das Bild angefordert wurde. Wenn der Inhalt von derselben Domain bereitgestellt wird, wie die Website, werden möglicherweise Session-Informationen freigegeben, mit denen der Schutz umgangen werden kann, den HTTPS für das Benutzerkonto bietet.

Beispiele für Passive Content sind Bilder, Audiodateien und Videodateien.

Mixed Active Content oder Script Content

Active Content ist Inhalt, der auf alle Bereiche des Document Object Model (DOM) einer HTTPS-Site zugreifen und diese beeinflussen kann. Diese Art gemischten Inhalts kann das Verhalten einer HTTPS-Website ändern und sensible Benutzerinformationen abfangen. Zusätzlich zu den bereits oben beschriebenen Risiken für Mixed Passive Content ist Mixed Active Content einer Reihe von potentiellen Angriffsvektoren ausgesetzt.

Beispiel: Ein MITM-Angreifer (Man In The Middle) kann Anfragen für aktiven HTTP-Inhalt abfangen. Der Angreifer kann die Antwort so umschreiben, dass sie bösartigen JavaScript-Code enthält. Bösartiges Script kann die Anmeldedaten des Benutzers abfangen, sensible Daten über den Benutzer sammeln oder Malware im System des Benutzers installieren (beispielsweise durch das Ausnutzen verwundbarer Plugins, die der Benutzer installiert hat).

Beispiele für Active Content sind JavaScript, CSS, Objekte, xhr-Anfragen, iframes und Schriftarten.

Löschung des Bedarfs für Steuerungen für Benutzer-Browser

Um den Bedarf an Benutzersteuerungen zu eliminieren, sollte der gesamte Inhalt, passiv und aktiv, über HTTPS bereitgestellt werden.

Browser-Verwaltung von Mixed Content durch den Browser

In den folgenden Abschnitten wird beschrieben, wie Browser-Steuerungen für den Zugriff auf Mixed Content für Google Chrome und Mozilla Firefox verwaltet werden.

Anhand der Beispielseiten unter https://people.mozilla.org/~tvyas/mixedcontent.html können Sie die Auswirkungen von gemischten Inhalten auf die Browsing-Erfahrung von Benutzern sehen und die Auswirkungen der Browser-Einstellungen auf die Darstellung einer Seite verstehen.

Beachten Sie, dass die Konzepte zum Mixed Content Blocking bei allen Browsern ähnlich sind, und dass die Verwaltung des Zugriffs und der Informationsstufen die wichtigsten Unterschiede zwischen Browsern, die das Mixed Content Blocking unterstützen, darstellen.

Lesen Sie sich den Abschnitt durch, der für Ihren Browser zutrifft.