SSL ist nicht gleich SSL: Wie in einem früheren Blogbeitrag erklärt, ist SSL-Verschlüsselung ein integraler Bestandteil sicheren Webdesigns. Das grüne Schloss-Symbol im Browser signalisiert, dass die Verbindung zwischen Ihrem Browser und der Webseite sicher und authentifiziert ist. Einen Haken hat die Umstellung auf SSL allerdings: Die Gefahr von “Mixed Content”.
Was ist Mixed Content?
Der Begriff Mixed Content bezieht sich auf Webseiten, die SSL-verschlüsselte Elemente mit solchen verbinden, die nicht verschlüsselt sind. An einem Beispiel erklärt: Der HTML-Inhalt einer Webseite wird über SSL verschlüsselt geladen, auf der Webseite selbst befinden sich allerdings andere Inhalte (Multimediainhalte wie Bilder oder Videos, Scripte und dergleichen), die über reguläres HTTP statt dem sicheren HTTPS geladen werden. Das ist unter anderem auch deshalb gefährlich, weil die Seite zunächst als sicher geladen und auch vom Browser so dargestellt wird. Mittlerweile geben moderne Browser Warnmeldungen aus, wenn nach einer ursprünglich sicheren SSL-Verbindung unverschlüsselte Inhalte übertragen werden.
Die Gefahren von Mixed Content
Inhalte auf solche Art zu vermischen kann eine Reihe Probleme nach sich ziehen. Zunächst besteht die generelle Gefahr von Vertrauensverlust durch Ihre Besucher, falls diese auf HTTPS-Verbindungen achten oder von ihrem Browser auf unsichere Elemente aufmerksam gemacht werden. Schwerwiegender sind die zugrunde liegenden Sicherheitsprobleme unverschlüsselter Elemente – durch Mixed Content kann Ihre Webseite auf eine Art angreifbar werden, die dem Sinn und Zweck von SSL widerspricht. Eine Authentifizierung Ihrer Webseite, also die Bestätigung durch den Browser Ihrer Besucher, dass sie sich auf der “echten” Webseite Ihres Unternehmens befinden, kann durch unverschlüsselte Elemente verhindert werden. Weiterhin fehlt die Sicherheit, dass von Ihrer Webseite übertragene Inhalte dem Original entsprechen und nicht von Dritten modifiziert wurden.
Diese Gefahr besteht, weil vermischte Inhalte es Angreifern möglich machen, eine sogenannte Man-in-the-middle-attack durchzuführen. Bei dieser Art von Angriff fängt ein Dritter die versendeten Daten zwischen Besucher und Webseite ab und kann sie nach Belieben ändern. Im Extremfall wären davon nicht nur die unverschlüsselten Elemente betroffen – die Webseite wird zum Instrument eines Hackers. Das trifft zum Beispiel dann zu, wenn die unsicheren Bestandteile mit der gesamten Webseite interagieren, beispielsweise Scripte oder Flash-Elemente. Eine solche Sicherheitslücke wird auch “Active mixed content” genannt. Interagieren die betroffenen Elemente nicht mit der gesamten Webseite, spricht man von “Passive mixed content”. Die aktive Variante ist dabei deutlich gefährlicher.
Auch für Browser ist der Umgang mit Mixed Content schwierig, weil die naheliegende Lösung, sämtliche Webseiten mit vermischten Inhalten zu blockieren, eine riesige Anzahl gut besuchter Seiten abwürgen könnte. Die aktuellen Versionen der gängigsten Browser halten sich in der Regel an die Anleitung des W3C und blockieren nur solche Elemente, die sie als besonders gefährlich oder anfällig einschätzen. In diesem vergleichsweise glimpflichen Fall wäre nicht garantiert, dass all Ihre Besucher die gleiche Nutzererfahrung auf Ihrer Webseite haben. Ein Beispiel dafür, wie Firefox mit Mixed Content umgeht, finden Sie hier.
Wie kann Mixed Content verhindert werden?
Falls sich auf Ihrer Webseite vermische Inhalte eingeschlichen haben, führt wahrscheinlich an einer Überprüfung aller in den HTML-Dokumenten Ihrer Seite aufgeführten Links kein Weg vorbei. Für eine insgesamt SSL-verschlüsselte Webseite müssen sämtliche Links im HTTPS-Format vorliegen. Google stellt dazu auf dieser Seite weitergehende Informationen bereit.
Haben Sie Probleme mit Mixed Content auf Ihrem Webauftritt und benötigen Hilfe bei der Bereinigung Ihrer Datenbank? Wir helfen gerne weiter! Kontaktieren Sie uns!
Haben Sie mit SSL oder unsicheren Inhalten schlechte Erfahrungen gemacht? Wir freuen uns auf Ihren Kommentar!
