"Diese Website enthält unsicheren Inhalt." "Es werden nur sichere Inhalte angezeigt." "Firefox hat nicht sichere Inhalte blockiert." Sie werden gelegentlich beim Surfen im Internet auf diese Warnungen stoßen, aber was genau bedeuten sie?
Es gibt zwei Arten von gemischten Inhalten - eine ist schlechter als die andere, aber keine ist gut. Warnungen vor gemischten Inhalten weisen darauf hin, dass mit einer von Ihnen besuchten Webseite etwas nicht stimmt.
Was ist gemischter Inhalt?
VERBUNDEN: Was ist HTTPS und warum sollte es mich interessieren?
Darauf kommt es an der Unterschied zwischen HTTP und HTTPS . HTTP ist die am häufigsten verwendete Art der Verbindung. Wenn Sie eine Website mit dem HTTP-Protokoll besuchen, ist Ihre Verbindung zur Website nicht gesichert. Jeder, der den Datenverkehr abhört, kann die angezeigte Seite und alle Daten sehen, die Sie hin und her senden.
Deshalb haben wir HTTPS, was wörtlich "HTTP Secure" ist. HTTPS stellt eine sichere Verbindung zwischen Ihnen und dem Webserver her. Die Verbindung ist verschlüsselt und authentifiziert, sodass niemand Ihren Datenverkehr überwachen kann und Sie sicher sind, dass Sie mit der richtigen Website verbunden sind. Dies ist äußerst wichtig, um Kontokennwörter und Online-Zahlungsdaten zu sichern und sicherzustellen, dass niemand sie abhören kann.
Warnungen zu gemischten Inhalten weisen auf ein Problem mit einer Webseite hin, auf die Sie über HTTPS zugreifen. Die HTTPS-Verbindung sollte sicher sein, aber der Quellcode der Webseite zieht andere Ressourcen mit dem unsicheren HTTP-Protokoll ein, nicht HTTPS. In der Adressleiste Ihres Webbrowsers wird angezeigt, dass Sie mit HTTPS verbunden sind. Auf der Seite werden jedoch auch Ressourcen mit dem unsicheren HTTP-Protokoll im Hintergrund geladen. Um sicherzustellen, dass die von Ihnen verwendete Webseite nicht vollständig sicher ist, wird in Browsern eine Warnung angezeigt, die besagt, dass die Seite sowohl HTTPS- als auch HTTP-Inhalte enthält - also gemischte Inhalte.
Warum das gefährlich ist
VERBUNDEN: Was ist Verschlüsselung und wie funktioniert sie?
Hier ist, warum dies tatsächlich gefährlich ist. Angenommen, Sie befinden sich auf einer Zahlungsseite und geben gleich Ihre Kreditkartennummer ein. Die Zahlungsseite zeigt an, dass es sich um eine handelt verschlüsselt HTTPS-Verbindung, aber Sie sehen eine Warnung zu gemischten Inhalten. Dies sollte eine rote Fahne hissen. Es ist möglich, dass die von Ihnen eingegebenen Zahlungsdetails vom unsicheren Inhalt erfasst und über eine unsichere Verbindung gesendet werden, wodurch der Vorteil der HTTPS-Sicherheit entfällt. Jemand könnte Ihre vertraulichen Daten belauschen und anzeigen.
Da HTTP den Webserver nicht wie HTTPS authentifiziert, ist es auch möglich, dass eine sichere HTTPS-Site, die ein Skript von einer HTTP-Site abruft, dazu verleitet wird, das Skript eines Angreifers abzurufen und auf der ansonsten sicheren Site auszuführen. Wenn HTTPS verwendet wird, haben Sie mehr Sicherheit, dass der Inhalt nicht manipuliert wurde und legitim ist.
In beiden Fällen entfällt der Vorteil einer sicheren HTTPS-Verbindung. Es ist möglich, dass eine Website eine unsichere Inhaltswarnung enthält und Ihre persönlichen Daten dennoch ordnungsgemäß schützt. Wir wissen es jedoch nicht genau und sollten das Risiko nicht eingehen. Deshalb warnen Webbrowser Sie, wenn Sie auf eine Website stoßen, die dies nicht ist richtig codiert.
Gemischter aktiver Inhalt vs. gemischter passiver Inhalt
Es gibt tatsächlich zwei Arten von gemischten Inhalten. Das gefährlichere ist "gemischter aktiver Inhalt" oder "gemischtes Scripting". Dies tritt auf, wenn eine HTTPS-Site eine Skriptdatei über HTTP lädt. Die Skriptdatei kann jeden Code auf der gewünschten Seite ausführen. Wenn Sie also ein Skript über eine unsichere Verbindung laden, wird die Sicherheit der aktuellen Seite vollständig beeinträchtigt. Webbrowser blockieren diese Art von gemischtem Inhalt im Allgemeinen vollständig.
Der zweite Typ ist "gemischter passiver Inhalt" oder "gemischter Anzeigeinhalt". Dies tritt auf, wenn eine HTTPS-Site so etwas wie ein Bild oder eine Audiodatei über eine HTTP-Verbindung lädt. Diese Art von Inhalten kann die Sicherheit der Seite nicht auf die gleiche Weise beeinträchtigen, sodass Webbrowser nicht so hart reagieren. Es ist jedoch immer noch eine schlechte Sicherheitspraxis, die Probleme verursachen kann. Beispielsweise könnte ein Angreifer das Bild durch ein irreführendes Bild ersetzen und eine theoretisch sichere Seite manipulieren. Eine Bildladeanforderung enthält auch Header, die mit einer Website verknüpfte Cookie-Informationen enthalten. Selbst das Laden eines Bildes über eine unsichere Verbindung kann Probleme verursachen. Webbrowser zeigen häufig ein Warnsymbol oder eine Meldung an, anstatt den Inhalt vollständig zu blockieren, da diese Art von gemischtem Inhalt auf echten Websites immer noch so häufig vorkommt. In Chrome sehen Sie ein Vorhängeschloss mit einem gelben Dreieck.
Was tun, wenn eine Warnung zu gemischten Inhalten angezeigt wird?
Webbrowser blockieren im Allgemeinen standardmäßig die gefährlichsten Arten von gemischten Inhalten. Entsperren Sie es nicht. Wenn Sie sich nicht auf einer Website anmelden oder keine Online-Zahlungsdetails eingeben können, ohne den gemischten Inhalt zu laden, sollten Sie einfach die Website verlassen und Ihre Informationen nicht auf einer unsicheren Website eingeben. Lassen Sie die Websitebesitzer wissen, dass ihre Website unsicher und fehlerhaft ist.
Wenn Sie eine Warnung sehen, dass eine Seite andere Ressourcen enthält, die möglicherweise nicht sicher sind, ist es wahrscheinlich trotzdem sicher, sich anzumelden. Es ist kein gutes Zeichen, wenn eine Website, die so wichtig ist wie Ihre Bank, dieses Problem hat, aber diese Art der Warnung vor gemischten Inhalten ist sehr häufig.
Auf der anderen Seite sind Warnungen vor gemischten Inhalten keine große Sache, wenn Sie auf eine Website zugreifen, die kein HTTPS benötigt. Eine Warnung zu gemischten Inhalten bedeutet lediglich, dass eine Webseite garantiert von der HTTPS-Sicherheit profitiert. Mit anderen Worten, im schlimmsten Fall ist die von Ihnen besuchte Webseite so unsicher wie eine Standard-HTTP-Site. Wenn Sie also auf eine Website wie Wikipedia zugegriffen haben, um nur einige Artikel zu lesen, und eine Warnung mit gemischten Inhalten gesehen haben, sollten Sie sich nicht zu sehr darum kümmern müssen. Im schlimmsten Fall ist es genauso unsicher, als würden Sie Artikel auf Wikipedia über eine Standard-HTTP-Verbindung lesen, was ohnehin kein Problem wäre.
Warum einige Webseiten dieses Problem haben
Dieser Fehler wird nur angezeigt, wenn ein Problem mit der Codierung einer Webseite vorliegt. Wenn eine Webseite über HTTPS bereitgestellt wird, sollte sie auch das HTTPS-Protokoll verwenden, um Skriptdateien und andere erforderliche Inhalte abzurufen. Webentwickler sollten ihre Webseiten testen und sicherstellen, dass sie in den Browsern der Benutzer keine beängstigend aussehenden Warnungen auslösen. Wenn Sie ein Benutzer sind, können Sie nichts dagegen tun. Es ist Sache des Website-Eigentümers, das Problem zu beheben.
Wenn Sie ein Webentwickler sind, müssen Sie lediglich sicherstellen, dass Ihre HTTPS-Seiten Inhalte von HTTPS-URLs laden, nicht von HTTP-URLs. Eine Möglichkeit, dies zu tun, besteht darin, dass Ihre gesamte Website nur über SSL funktioniert, sodass nur HTTPS verwendet wird.
Wenn Sie eine Seite erstellen möchten, die über HTTP oder HTTPS bereitgestellt werden kann und automatisch das Richtige tut, können Sie "protokollbezogene URLs" verwenden, damit der Browser des Benutzers je nach Protokoll des Benutzers automatisch HTTP oder HTTPS auswählt verbunden mit. Beispielsweise würde eine protokollbezogene URL zum Laden eines Bildes aussehen <img src = ”// example.com/image.png”> . Der Browser fügt automatisch entweder http: oder https: zum Anfang der URL hinzu, je nachdem, was angemessen ist. Natürlich müssen Sie sicherstellen, dass die Site, auf die Sie verlinken, die Ressource sowohl über HTTP als auch über HTTPS anbietet.
Webbrowser blockieren gemischte Inhalte oder Ihren Schutz automatisch. Aus diesem Grund. Wenn Sie eine sichere Website verwenden müssen, die nur dann ordnungsgemäß funktioniert, wenn Sie gemischte Inhalte aktivieren, sollte der Eigentümer der Website dies beheben.
