Suche

Mixed Content und das Schloss-Symbol

Mixed Content ist einer der möglichen Gründe, warum das teuer eingekaufte SSL-Zertifikat nicht dazu führt, dass eine Webseite in den großen Browsern auch mit dem typischen Schloss-Symbol angezeigt wird. Von vielen Seiten wir den Usern eingeschärft, genau auf dieses Schloss zu achten, um eine sicher verschlüsselte Übertragung ihrer Daten im Internet zu gewährleisten. Die Browserhersteller wiederum versuchen alle Risiken einzudämmen, die dazu führen könnten, dass die gefühlte Sicherheit durch das Schloss untergraben werden könnte. Genau deshalb ist Mixed Content ein Problem.

Firefox im Vergleich

Unterschiedliche Darstellung der Verbindungssicherheit in Firefox. Oben: Ohne Mixed Content, unten: Mit Mixed Content, daher kein Schloss-Symbol

Ab Version 23 wird der Firefox-Browser standardmäßig den sogenannten Active Mixed Content blockieren. Damit werden aktive Inhalte, die von einer HTTPS-verschlüsselten Seite aus per HTTP geladen werden sollen, nicht mehr abgerufen. Solche Inhalte sollten also möglichst bald auch verschlüsselt verfügbar gemacht und eingebunden werden (z.B. mit Links, die beginnend mit // schema-neutral für HTTP- und HTTPS-Verbindungen funktionieren).

Für Passive Mixed Content gibt es noch eine Gnadenfrist, aber auch hier sollte man sich Gedanken machen, wenn er auf der eigenen oder betreuten Seiten auftaucht. Einen deutlichen Hinweis darauf gibt z.B. Firefox in der Markierung der Seite mit einer grauen Weltkugel anstatt des grauen (oder grünen) Schloss-Symbols (siehe Bild). Für die genaue Analyse ändert man über about:config die Einstellung security.warn_viewing_mixed auf den Wert True (per Doppelklick). Danach erscheint in der Webkonsole (Extras ▸ Web-Entwickler ▸ Web-Konsole) eine Warnung, wenn unsicherer Inhalt auf eine sichere Seite nachgeladen wird.

Debugging in der Web-Konsole

Ausgabe in der Web-Konsole, wenn Mixed Content nachgeladen wird

Damit lässt sich dann leicht feststellen, welche Anpassungen nötig sind, um das Schloss und das gute Gefühl der Kunden und Besucher zurückzuerhalten.

Johannes Mitlmeier

Johannes Mitlmeier

Als Webentwickler ist es meine Aufgabe die verfügbaren Techniken so zu verbinden, dass dabei gut bedienbare Produkte entstehen, die die Aufgabe lösen, die der Kunde an uns herangetragen hat.

Keine Kommentare

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht.