Mixed Content und das Schloss-Symbol

Mixed Content ist einer der möglichen Gründe, warum das teuer eingekaufte SSL-Zertifikat nicht dazu führt, dass eine Webseite in den großen Browsern auch mit dem typischen Schloss-Symbol angezeigt wird. Von vielen Seiten wir den Usern eingeschärft, genau auf dieses Schloss zu achten, um eine sicher verschlüsselte Übertragung ihrer Daten im Internet zu gewährleisten. Die Browserhersteller wiederum versuchen alle Risiken einzudämmen, die dazu führen könnten, dass die gefühlte Sicherheit durch das Schloss untergraben werden könnte. Genau deshalb ist Mixed Content ein Problem.

Firefox im Vergleich

Unterschiedliche Darstellung der Verbindungssicherheit in Firefox. Oben: Ohne Mixed Content, unten: Mit Mixed Content, daher kein Schloss-Symbol

Ab Version 23 wird der Firefox-Browser standardmäßig den sogenannten Active Mixed Content blockieren. Damit werden aktive Inhalte, die von einer HTTPS-verschlüsselten Seite aus per HTTP geladen werden sollen, nicht mehr abgerufen. Solche Inhalte sollten also möglichst bald auch verschlüsselt verfügbar gemacht und eingebunden werden (z.B. mit Links, die beginnend mit // schema-neutral für HTTP- und HTTPS-Verbindungen funktionieren).

Für Passive Mixed Content gibt es noch eine Gnadenfrist, aber auch hier sollte man sich Gedanken machen, wenn er auf der eigenen oder betreuten Seiten auftaucht. Einen deutlichen Hinweis darauf gibt z.B. Firefox in der Markierung der Seite mit einer grauen Weltkugel anstatt des grauen (oder grünen) Schloss-Symbols (siehe Bild). Für die genaue Analyse ändert man über about:config die Einstellung security.warn_viewing_mixed auf den Wert True (per Doppelklick). Danach erscheint in der Webkonsole (Extras ▸ Web-Entwickler ▸ Web-Konsole) eine Warnung, wenn unsicherer Inhalt auf eine sichere Seite nachgeladen wird.

Debugging in der Web-Konsole

Ausgabe in der Web-Konsole, wenn Mixed Content nachgeladen wird

Damit lässt sich dann leicht feststellen, welche Anpassungen nötig sind, um das Schloss und das gute Gefühl der Kunden und Besucher zurückzuerhalten.

Schlagwörter:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert