23Aug
"Diese Website enthält unsichere Inhalte." "Es werden nur sichere Inhalte angezeigt." "Firefox hat Inhalte blockiert, die nicht sicher sind." Sie werden gelegentlich beim Surfen im Internet auf diese Warnungen stoßen, aber was genau bedeuten sie?
Es gibt zwei Arten von gemischtem Inhalt - einer ist schlechter als der andere, aber keiner ist gut. Warnung vor gemischten Inhalten weist darauf hin, dass mit einer von Ihnen besuchten Webseite etwas nicht stimmt.
Was ist gemischter Inhalt?
Dies alles kommt auf den Unterschied zwischen HTTP und HTTPS.HTTP ist der am häufigsten verwendete Verbindungstyp. Wenn Sie eine Website mit dem HTTP-Protokoll besuchen, ist Ihre Verbindung zur Website nicht gesichert. Jeder, der den Datenverkehr belauscht, kann die angezeigte Seite und alle Daten sehen, die Sie hin und her senden.
Deshalb haben wir HTTPS, was buchstäblich "HTTP Secure" ist. HTTPS schafft eine sichere Verbindung zwischen Ihnen und dem Webserver. Die Verbindung ist verschlüsselt und authentifiziert, sodass niemand Ihren Datenverkehr überwachen kann und Sie haben die Gewissheit, dass Sie mit der richtigen Website verbunden sind. Dies ist äußerst wichtig, um Kontokennwörter und Online-Zahlungsdaten zu sichern, so dass niemand sie belauschen kann.
Warnungen zu gemischten Inhalten weisen auf ein Problem mit einer Webseite hin, auf die Sie über HTTPS zugreifen. Die HTTPS-Verbindung sollte sicher sein, aber der Quellcode der Webseite zieht andere Ressourcen mit dem unsicheren HTTP-Protokoll ein, nicht HTTPS.Die Adressleiste Ihres Webbrowsers zeigt an, dass Sie mit HTTPS verbunden sind, aber die Seite lädt auch Ressourcen mit dem unsicheren HTTP-Protokoll im Hintergrund. Um sicherzustellen, dass Sie wissen, dass die von Ihnen verwendete Webseite nicht vollständig sicher ist, zeigen Browser eine Warnung an, die besagt, dass die Seite sowohl HTTPS- als auch HTTP-Inhalte enthält - also gemischte Inhalte.
Warum das gefährlich ist
Hier ist, warum das eigentlich gefährlich ist. Angenommen, Sie befinden sich auf einer Bezahlseite und Sie geben Ihre Kreditkartennummer ein. Die Zahlungsseite zeigt an, dass es sich um eine verschlüsselte HTTPS-Verbindung handelt, Sie sehen jedoch eine Warnmeldung für gemischte Inhalte. Dies sollte eine rote Flagge auslösen. Es ist möglich, dass die von Ihnen eingegebenen Zahlungsdetails durch den unsicheren Inhalt erfasst und über eine unsichere Verbindung gesendet werden können, wodurch die Vorteile der HTTPS-Sicherheit beseitigt werden - jemand könnte Ihre sensiblen Daten belauschen und sehen.
Da HTTP den Webserver nicht auf die gleiche Weise wie HTTPS authentifiziert, ist es auch möglich, dass eine sichere HTTPS-Site, die ein Skript von einer HTTP-Site einzieht, dazu verleitet wird, das Skript eines Angreifers auf der ansonsten sicheren Site auszuführen. Wenn HTTPS verwendet wird, haben Sie mehr Sicherheit, dass der Inhalt nicht manipuliert wurde und legitim ist.
In beiden Fällen entfällt der Vorteil einer sicheren HTTPS-Verbindung. Es ist möglich, dass eine Website eine unsichere Inhaltswarnung enthält und trotzdem Ihre persönlichen Daten sicher schützt, aber wir wissen es nicht genau und sollten das Risiko nicht eingehen - deshalb warnen Webbrowser Sie, wenn Sie auf eine Webseite stoßen, die das nicht tutrichtig codiert.
Gemischter aktiver Inhalt vs. gemischt passiver Inhalt
Es gibt zwei Arten von gemischtem Inhalt. Der gefährlichere ist "gemischter aktiver Inhalt" oder "gemischtes Scripting". Dies tritt auf, wenn eine HTTPS-Site eine Skriptdatei über HTTP lädt. Die Skriptdatei kann beliebigen Code auf der gewünschten Seite ausführen, sodass das Laden eines Skripts über eine unsichere Verbindung die Sicherheit der aktuellen Seite vollständig ruiniert. Webbrowser blockieren diese Art von gemischten Inhalten im Allgemeinen vollständig.
Der zweite Typ ist "gemischter passiver Inhalt" oder "gemischter Anzeigeinhalt". Dies tritt auf, wenn eine HTTPS-Site eine Bild- oder Audiodatei über eine HTTP-Verbindung lädt. Diese Art von Inhalten kann die Sicherheit der Seite nicht auf die gleiche Weise ruinieren, so dass Webbrowser nicht so hart reagieren. Es ist jedoch immer noch eine schlechte Sicherheitsvorkehrung, die Probleme verursachen könnte. Zum Beispiel könnte ein Angreifer das Bild durch ein irreführendes Bild ersetzen, das eine theoretisch sichere Seite manipuliert. Eine Image-Ladeanforderung enthält auch Header, die Cookie-Informationen enthalten, die mit einer Website verknüpft sind, sodass selbst das Laden eines Images über eine unsichere Verbindung zu Problemen führen kann. Webbrowser zeigen oft ein Warnsymbol oder eine Warnmeldung an, anstatt den Inhalt vollständig zu blockieren, da diese Art von gemischtem Inhalt auf echten Websites noch immer so häufig vorkommt. In Chrome sehen Sie ein Vorhängeschloss mit einem gelben Dreieck.
Was zu tun ist, wenn Sie eine
Warnung für gemischten Inhalt anzeigenWebbrowser blockieren im Allgemeinen die gefährlichsten Arten von gemischten Inhalten standardmäßig. Entsperre es nicht. Wenn Sie sich nicht auf einer Website anmelden oder Online-Zahlungsdetails eingeben können, ohne die gemischten Inhalte zu laden, sollten Sie die Website verlassen und Ihre Daten nicht auf einer unsicheren Website eingeben. Lassen Sie die Website-Inhaber wissen, ihre Website ist unsicher und kaputt.
Wenn Sie eine Warnung sehen, dass eine Seite andere Ressourcen enthält, die möglicherweise nicht sicher sind, ist es wahrscheinlich trotzdem sicher, sich anzumelden. Es ist kein gutes Zeichen, wenn eine Website, die so wichtig ist wie Ihre Bank, dieses Problem hat, aber diese Art von Warnhinweis zu gemischten Inhalten ist sehr häufig.
Auf der anderen Seite sind Warnungen zu gemischten Inhalten keine große Sache, wenn Sie auf eine Website zugreifen, die kein HTTPS benötigt. Eine Warnmeldung für gemischte Inhalte bedeutet, dass eine Webseite HTTPS-Sicherheit garantiert - mit anderen Worten, im schlimmsten Fall ist die Webseite, die Sie besuchen, so unsicher wie eine Standard-HTTP-Site. Also, wenn Sie auf eine Website wie Wikipedia nur zugreifen, um einige Artikel zu lesen, und Sie eine Warnung mit gemischten Inhalten gesehen haben, sollten Sie sich nicht zu sehr darum kümmern. Im schlimmsten Fall ist es genauso unsicher, als ob Sie Artikel über Wikipedia über eine Standard-HTTP-Verbindung lesen würden, womit Sie sowieso kein Problem hätten.
Warum einige Webseiten dieses Problem haben
Dieser Fehler tritt nur auf, wenn ein Problem mit der Codierung einer Webseite vorliegt. Wenn eine Webseite über HTTPS bereitgestellt wird, sollte sie auch das HTTPS-Protokoll verwenden, um Skriptdateien und anderen erforderlichen Inhalt abzurufen. Webentwickler sollten ihre Webseiten testen, um sicherzustellen, dass sie in den Browsern der Benutzer keine gruselig aussehenden Warnungen auslösen. Wenn Sie ein Benutzer sind, können Sie nicht wirklich etwas dagegen tun - es liegt an dem Eigentümer der Website, es zu beheben.
Wenn Sie ein Webentwickler sind, müssen Sie lediglich sicherstellen, dass Ihre HTTPS-Seiten Inhalt von HTTPS-URLs laden und nicht von HTTP-URLs. Eine Möglichkeit besteht darin, dass Ihre gesamte Website nur über SSL funktioniert, also wird nur HTTPS verwendet.
Wenn Sie eine Seite erstellen möchten, die über HTTP oder HTTPS bedient werden kann und automatisch das Richtige tut, können Sie mithilfe von "Protokoll-relativen URLs" den Browser des Benutzers je nach Protokoll automatisch auf HTTP oder HTTPS setzenist verbunden mit. Beispielsweise würde eine relative Protokoll-URL zum Laden eines Bildes wie folgt aussehen: & lt; img src = "//example.com/ image.png" & gt;.Der Browser fügt automatisch entweder http: oder https: zum Anfang der URL hinzu, je nachdem, was angemessen ist. Natürlich müssen Sie sicherstellen, dass die Website, auf die Sie verlinken, die Ressource sowohl über HTTP als auch über HTTPS anbietet.
Webbrowser blockieren automatisch gemischte Inhalte oder Ihren Schutz, und das ist der Grund. Wenn Sie eine sichere Website verwenden müssen, die nicht ordnungsgemäß funktioniert, wenn Sie nicht gemischten Content aktivieren, sollte der Eigentümer der Website den Fehler beheben.
