GlobalSign Blog

10 Nov 2015

Mixed Content-Warnungen auf Ihrer SSL-Website beheben

Besucher von SSL-geschützten Websites erwarten, zu Recht, Sicherheit und entsprechenden Datenschutz. Schützt eine Website den Inhalt nicht vollständig, erscheint im Browser eine "Mixed Content"-Warnung. Mixed Content liegt vor, wenn eine Webseite, die eine Kombination aus sowohl sicherem (HTTPS) und nicht sicherem (HTTP) Inhalt enthält und dieser über SSL an den Browser übergeben wird. Ungesicherter Inhalt kann theoretisch von Angreifern gelesen oder modifiziert werden, auch wenn die übergeordnete Seite über HTTPS angeboten wird.

Wenn Besucher Warnmeldungen sehen, haben sie zwei verschiedene Möglichkeiten: Entweder Sie machen weiter und ignorieren die Warnungen und potenziellen Sicherheitsrisiken. Diese Vorgehensweise ist natürlich nicht zu empfehlen.
Die zweite Möglichkeit ist die Warnung ernst zu nehmen und die betreffende Website wegen Sicherheitsbedenken nicht mehr zu besuchen. Aus Ihrer Sicht ist diese Option noch schlimmer.

Am besten sollten Sie sicherstellen, dass diese Warnungen gar nicht erst auftreten, da Sie Ihre Site korrekt konfiguriert haben und Sie nur sichere Inhalte anbieten. Eine Mixed-Content-Warnung bedeutet, dass sowohl gesicherte als auch ungesicherte Elemente auf einer Seite angeboten werden, die aber vollständig verschlüsselt sein sollte. Bei allen Seiten unter einer HTTPS-Adresse muss der gesamte Inhalt aus einer gesicherten Quelle stammen. Jede Seite, die auf eine HTTP-Ressource verlinkt, wird als unsicher angesehen und anschließend von Ihrem Browser als Sicherheitsrisiko gekennzeichnet.

Verschiedene Arten von Mixed Content

Es gibt faktisch zwei Arten Mixed Content. Die gefährlichere ist "Mixed Active Content" oder "Mixed Scripting". Diese liegt vor, wenn eine HTTPS-Website eine Skript-Datei über HTTP lädt. Das Laden eines Skripts über eine unsichere Verbindung macht das Sicherheitslevel der aktuellen Seite vollständig zunichte. Webbrowser blockieren diese Art von Mixed Content generell.

Die zweite und häufigere Art ist “Mixed Passive Content” oder “Mixed Display Content.” Dieser liegt vor, wenn eine HTTPS-Website z.B. ein Bild oder eine Audiodatei über eine HTTP-Verbindung lädt. Diese Art Content ist für eine Webseite ein geringeres Sicherheitsrisiko. Daher reagieren Webbrowser nicht so strikt wie bei "Active Mixed Content”. Allerdings gilt auch diese Art von Mixed Content noch als schlechte Sicherheitspraxis, die Probleme verursachen kann. Die wohl häufigste Ursache für alle Mixed-Content-Warnungen: Eine angeblich sichere Website, ist so konfiguriert, dass sie Bilder von einer ungesicherten Quelle verwendet.

Finden und Beheben von Mixed Content-Problemen

Suche nach Mixed Content

Der beste Weg, um Mixed Content-Probleme zu vermeiden ist es, alle Inhalte über HTTPS anstelle von HTTP anzubieten. Sie können ganz einfach nach Mixed Content suchen, indem Sie direkt über Ihren Quellcode nach HTTP-Elementen suchen.

1.)  Öffnen Sie den Quellcode einer Seite

2.)  Suchen Sie mit einer Suchfunktion nach "src = http". Suchen Sie nach Ressourcen wie Bildern, JavaScript und Links, die über eine nicht sichere (HTTP) Verbindung aufgerufen werden.

Beheben von Mixed Content

Sobald Sie den Content gefunden haben, der über HTTP statt HTTPS angeboten wird, ist das Problem ganz einfach durch Hinzufügen eines "s" zu den Links zu lösen - http:// wird zu https://.

Allerdings müssen Sie zunächst prüfen, ob die Ressource über eine HTTPS-Verbindung verfügbar ist. Dazu wird der HTTP-URL kopiert und in einen neuen Webbrowser eingefügt und HTTP zu HTTPS geändert. Wenn die Ressource (d.h. Bild, URL) über HTTPS verfügbar ist, können Sie einfach in Ihrem Quellcode HTTP zu HTTPS ändern.

Dieses kurze Video zeigt Ihnen, wie man Mixed Content findet und behebt:



Das Wichtigste dabei ist, sicherzustellen, dass alle Bilder, Videos, Audio-Dateien und Ressourcen auf einer sicheren Quelle gehostet werden.

von Lea Toms

Artikel teilen