GlobalSign Blog

16 Nov 2015

Chrome ändert Anzeige von Mixed Content Ausgabe

Zusammen mit der Veröffentlichung von Chrome 46 hat das Chrome-Sicherheitsteam angekündigt, dass der Chrome-Browser Websites mit Mixed Content zukünftig anders anzeigt.

HTTPS-Seiten mit Mixed Content werden Besuchern in Chrome genauso angezeigt wie eine reguläre ungesicherte HTTP-Seite (siehe unten). Bei Website-Inhabern, die sich für ein SSL-Zertifikat entschieden haben um Ihre Website zu sichern, wird auf eher wenig Gegenliebe stoßen.

Chrome 45 vs 46

(Bildquelle: Google Online Security Blog)

Im aktuellen Chrome-Blog werden für diese Änderung zwei Gründe genannt: Zum einen soll der Sicherheitsstatus einer Seite in Bezug auf HTTP besser visuell angezeigt werden, zum anderen soll der Chrome-Nutzer sich nicht mit noch mehr verschiedenen Sicherheitszuständen vertraut machen müssen.

Es ist gut zu sehen, dass Chrome die Anzeige für SSL-Sicherheit vereinfacht. Man kann nicht erwarten, dass ein Besucher bei SSL-Verbindung zwischen eingebetteten, sicheren und nicht sicheren Elementen unterscheidet. Ein Besucher sollte nur zwischen "sicher" und "nicht sicher" unterscheiden müssen. Die Nuancen eines bestimmten Zwischenzustands muss er an dieser Stelle nicht verstehen.

Das Endergebnis ist eine Benutzererfahrung, bei der man nicht zwingend die Prinzipien oder die Relevanz von Mixed Content verstehen muss.

Warum werden Mixed Content-Fehler angezeigt?

Mixed Content liegt vor, wenn eine Webseite eine Kombination von sicherem (HTTPS) und nicht sicherem (HTTP) Inhalt enthält und dieser über SSL an den Browser übergeben wird. Nicht sicherer Inhalt kann theoretisch von Angreifern gelesen oder modifiziert werden, auch wenn die übergeordnete Seite über HTTPS angeboten wird. Mixed Content-Fehler sind ein aktuelles Thema, denn Websites werden immer dynamischer und sind aus vielen verschiedenen Live-Datenquellen oder Fremdelementen wie Social Media Feeds, Analytics-Code, Werbung usw. aufgebaut.

Am besten ist es natürlich, wenn Sie sicherstellen, dass diese Warnungen gar nicht erst angezeigt werden, weil Ihre Site korrekt konfiguriert ist und Sie nur sichere Inhalte anbieten.

Mehr dazu wie Sie Mixed Content-Probleme beheben in unserem Blog "Mixed Content Warnungen auf Ihrer SSL-Website beheben".

von Lea Toms

Artikel teilen