Was genau ist eine gemischte Inhaltswarnung?

„Diese Website hat einen unsicheren Inhalt.“ „Es werden nur sichere Inhalte angezeigt.“ „Firefox hat Inhalte blockiert, die nicht sicher sind.“ Beim Surfen im Internet werden Sie gelegentlich auf diese Warnungen gestoßen, was aber genau bedeutet?

Es gibt zwei Arten von gemischten Inhalten - eine ist schlechter als die andere, aber keiner ist gut. Warnungen mit gemischten Inhalten weisen darauf hin, dass mit einer von Ihnen besuchten Webseite etwas nicht stimmt.

Was ist gemischter Inhalt??

Dies alles beruht auf dem Unterschied zwischen HTTP und HTTPS. HTTP ist die am häufigsten verwendete Verbindungsart. Wenn Sie eine Website mit dem HTTP-Protokoll besuchen, ist Ihre Verbindung zur Website nicht gesichert. Jeder, der den Datenverkehr belauscht, kann die von Ihnen angezeigte Seite und alle Daten, die Sie hin und her senden, sehen.

Deshalb haben wir HTTPS, wörtlich "HTTP Secure". HTTPS stellt eine sichere Verbindung zwischen Ihnen und dem Webserver her. Die Verbindung ist verschlüsselt und authentifiziert, so dass niemand Ihren Datenverkehr ausnutzen kann und Sie sich sicher sind, dass Sie mit der richtigen Website verbunden sind. Dies ist äußerst wichtig für die Sicherung von Kontopasswörtern und Online-Zahlungsdaten, um sicherzustellen, dass niemand sie abhören kann.

Warnungen mit gemischten Inhalten weisen auf ein Problem mit einer Webseite hin, auf die Sie über HTTPS zugreifen. Die HTTPS-Verbindung sollte sicher sein, der Quellcode der Webseite zieht jedoch andere Ressourcen mit dem unsicheren HTTP-Protokoll an, nicht HTTPS. Die Adressleiste Ihres Webbrowsers gibt an, dass Sie mit HTTPS verbunden sind. Die Seite lädt jedoch auch Ressourcen mit dem unsicheren HTTP-Protokoll im Hintergrund. Um sicherzustellen, dass die von Ihnen verwendete Webseite nicht vollständig sicher ist, wird in Browsern eine Warnung angezeigt, die besagt, dass die Seite sowohl aus HTTPS- als auch aus HTTP-Inhalten besteht, dh aus gemischtem Inhalt.

Warum ist das gefährlich?

Warum ist das eigentlich gefährlich? Nehmen wir an, Sie befinden sich auf einer Zahlungsseite und geben Ihre Kreditkartennummer ein. Die Zahlungsseite weist darauf hin, dass es sich um eine verschlüsselte HTTPS-Verbindung handelt. Es wird jedoch eine Warnmeldung zum Inhalt angezeigt. Dies sollte eine rote Flagge auslösen. Es ist möglich, dass die von Ihnen eingegebenen Zahlungsdetails durch den unsicheren Inhalt erfasst und über eine unsichere Verbindung gesendet werden, wodurch die Vorteile der HTTPS-Sicherheit aufgehoben werden - jemand könnte Ihre sensiblen Daten abhören.

Da HTTP den Webserver nicht auf die gleiche Weise wie HTTPS authentifiziert, ist es auch möglich, dass eine sichere HTTPS-Site, die ein Skript von einer HTTP-Site abruft, dazu verleitet wird, das Skript eines Angreifers abzurufen und auf der ansonsten sicheren Site auszuführen. Wenn HTTPS verwendet wird, haben Sie mehr Sicherheit, dass der Inhalt nicht manipuliert wurde und legitim ist.

In beiden Fällen entfällt der Vorteil einer sicheren HTTPS-Verbindung. Es ist möglich, dass auf einer Website eine Warnung bezüglich eines unsicheren Inhalts angezeigt wird und Ihre persönlichen Daten trotzdem ordnungsgemäß geschützt werden. Wir wissen es jedoch nicht genau und sollten das Risiko nicht eingehen. Aus diesem Grund warnen Webbrowser Sie, wenn Sie auf eine Website stoßen, die nicht der Fall ist richtig codiert.

Gemischter aktiver Inhalt vs. gemischter passiver Inhalt

Es gibt zwei Arten von gemischten Inhalten. Der gefährlichere ist "Mixed Active Content" oder "Mixed Scripting". Dies tritt auf, wenn eine HTTPS-Site eine Skriptdatei über HTTP lädt. Die Skriptdatei kann beliebigen Code auf der gewünschten Seite ausführen. Das Laden eines Skripts über eine unsichere Verbindung beeinträchtigt die Sicherheit der aktuellen Seite. Webbrowser blockieren diese Art von gemischtem Inhalt im Allgemeinen vollständig.

Der zweite Typ ist "Mixed Passive Content" oder "Mixed Display Content". Dies tritt auf, wenn eine HTTPS-Site über eine HTTP-Verbindung etwas wie eine Bild- oder Audiodatei lädt. Diese Art von Inhalt kann die Sicherheit der Seite nicht auf die gleiche Weise beeinträchtigen. Webbrowser reagieren daher nicht so streng. Es ist jedoch immer noch eine schlechte Sicherheitspraxis, die Probleme verursachen kann. Beispielsweise könnte ein Angreifer das Bild durch ein irreführendes Bild ersetzen, wodurch eine theoretisch sichere Seite manipuliert wird. Eine Bildladeanforderung enthält auch Header, die Cookie-Informationen enthalten, die einer Website zugeordnet sind. Das Laden eines Bildes über eine unsichere Verbindung kann Probleme verursachen. Webbrowser zeigen oft ein Warnsymbol oder eine Warnmeldung an, anstatt den Inhalt vollständig zu blockieren, da diese Art von gemischtem Inhalt auf echten Websites immer noch so häufig ist. In Chrome sehen Sie ein Vorhängeschloss mit einem gelben Dreieck.

Was ist zu tun, wenn Sie eine Warnung zu gemischten Inhalten sehen?

Webbrowser blockieren im Allgemeinen standardmäßig die gefährlichsten gemischten Inhalte. Blockiere es nicht. Wenn Sie sich nicht auf einer Website anmelden oder Online-Zahlungsdetails eingeben können, ohne den gemischten Inhalt zu laden, verlassen Sie einfach die Website und geben Sie Ihre Informationen nicht in eine unsichere Website ein. Lassen Sie die Website-Besitzer wissen, dass ihre Website unsicher und fehlerhaft ist.

Wenn eine Warnung angezeigt wird, dass eine Seite andere Ressourcen enthält, die möglicherweise nicht sicher sind, können Sie sich trotzdem sicher einloggen. Es ist kein gutes Zeichen, wenn eine Website so wichtig ist wie Ihre Bank dieses Problem hat, aber diese Art von Warnung bezüglich gemischten Inhalts ist sehr verbreitet.

Andererseits sind Warnungen für gemischte Inhalte nicht wirklich eine große Sache, wenn Sie auf eine Website zugreifen, die kein HTTPS benötigt. Eine gemischte Inhaltswarnung bedeutet nur, dass eine Webseite garantiert von HTTPS-Sicherheit profitieren kann. In schlimmsten Fällen ist die von Ihnen besuchte Webseite so unsicher wie eine HTTP-Standardwebsite. Wenn Sie also auf eine Website wie Wikipedia zugreifen, um nur einige Artikel zu lesen, und Sie eine gemischte Inhaltswarnung gesehen haben, müssen Sie sich nicht allzu sehr darum kümmern. Im schlimmsten Fall ist es genauso unsicher, als würden Sie Wikipedia-Artikel über eine Standard-HTTP-Verbindung lesen, was Sie sowieso problemlos tun würden.

Warum einige Webseiten dieses Problem haben

Dieser Fehler wird nur angezeigt, wenn ein Problem mit der Codierung einer Webseite vorliegt. Wenn eine Webseite über HTTPS bereitgestellt wird, sollte sie auch das HTTPS-Protokoll verwenden, um Skriptdateien und andere erforderliche Inhalte abzurufen. Webentwickler sollten ihre Webseiten testen und sicherstellen, dass in den Browsern der Benutzer keine gruseligen Warnungen ausgegeben werden. Wenn Sie ein Benutzer sind, können Sie nicht wirklich etwas dagegen tun - es liegt beim Websitebesitzer, das Problem zu beheben.

Wenn Sie Webentwickler sind, müssen Sie lediglich sicherstellen, dass Ihre HTTPS-Seiten Inhalte von HTTPS-URLs laden, nicht von HTTP-URLs. Eine Möglichkeit, dies zu erreichen, besteht darin, dass Ihre gesamte Website nur über SSL funktioniert, sodass nur HTTPS verwendet wird.

Wenn Sie eine Seite erstellen möchten, die über HTTP oder HTTPS bedient werden kann und das Richtige automatisch tut, können Sie mithilfe von "Protokollrelativen URLs" den Browser des Benutzers automatisch HTTP oder HTTPS auswählen, je nachdem, welches Protokoll der Benutzer verwendet verbunden mit. Beispielsweise würde eine protokollbezogene URL zum Laden eines Bildes aussehen