Google Chrome hat bereits begonnen, bestimmte Typen von „gemischten Inhalten“ im Web zu unterbinden. Nun hat Google angekündigt, diese Maßnahmen zu verschärfen. Ab Anfang 2020 wird Chrome standardmäßig sämtliche gemischte Inhalte blockieren, was die Funktion einiger Webseiten beeinträchtigen kann. Hier erklären wir, was dies genau bedeutet.
Was versteht man unter gemischten Inhalten?
Grundsätzlich unterscheidet man zwischen zwei Arten von Inhalten: Solche, die über eine gesicherte, verschlüsselte HTTPS-Verbindung übertragen werden, und solche, die über eine unverschlüsselte HTTP-Verbindung bereitgestellt werden. Bei HTTPS ist gewährleistet, dass die Inhalte während der Übertragung nicht ausspioniert oder manipuliert werden können. Daher setzen viele wichtige Webseiten bei der Verarbeitung sensibler Finanz- oder persönlicher Daten auf diese Verschlüsselung.
Das Internet tendiert immer mehr zu sicheren HTTPS-Webseiten. Wenn Sie eine ältere HTTP-Seite ohne Verschlüsselung aufrufen, wird dies von Google Chrome bereits als „nicht sicher“ gekennzeichnet. Google blendet inzwischen sogar das Präfix „https://“ standardmäßig aus, da Webseiten eigentlich standardmäßig sicher sein sollten. Zudem wird der neue HTTP/3-Standard eine integrierte Verschlüsselung mit sich bringen.
Manchmal jedoch sind Webseiten nicht vollständig HTTPS oder HTTP. Einige werden über eine sichere HTTPS-Verbindung geladen, beziehen aber Bilder, Skripte oder andere Ressourcen über eine ungesicherte HTTP-Verbindung. Diese Webseiten enthalten „gemischte Inhalte“ und sind daher nicht vollkommen sicher. Zwar ist die Seite an sich nicht manipulierbar, aber ein eingebundenes Skript, Bild oder ein Iframe (eine Webseite in einem Frame einer anderen Webseite) könnte manipuliert worden sein.
Warum gemischte Inhalte ein Sicherheitsrisiko darstellen
Gemischte Inhalte können zu Verwirrung führen, da eine Webseite dadurch sowohl sicher als auch unsicher wirkt. Beispielsweise könnte eine ansonsten sichere Webseite eine JavaScript-Datei über HTTP anfordern. Dieses Skript könnte manipuliert werden – etwa in einem nicht vertrauenswürdigen öffentlichen WLAN –, um diverse schädliche Aktionen auszuführen, von der Überwachung von Tastatureingaben bis zum Einpflanzen von Tracking-Cookies.
Während Skripte und Iframes, auch als „aktive Inhalte“ bezeichnet, die größte Gefahr bergen, können selbst Bilder, Videos und Audioinhalte ein Risiko darstellen. Stellen Sie sich vor, Sie nutzen eine sichere Online-Handelsplattform, die ein Kursdiagramm über HTTP abruft. Dieses Bild ist nicht sicher – es könnte während der Übertragung manipuliert werden, um falsche Informationen anzuzeigen. Zudem wissen potenziell alle, die die Daten abfangen, welche Aktie Sie gerade beobachten, da die Übertragung unverschlüsselt erfolgt.
Die Vermischung von Inhalten ist daher keine gute Idee. Wenn eine Webseite HTTPS nutzt, sollten alle ihre Ressourcen ebenfalls über HTTPS geladen werden. Es ist eher ein historisches Überbleibsel, dass das Web zunächst mit HTTP begann und Webseiten erst allmählich auf HTTPS umgestellt wurden. Dabei wurde nicht immer darauf geachtet, alle Ressourcen auf HTTPS umzustellen, oder es wurde sich auf Drittanbieterressourcen verlassen, die HTTPS zu dem Zeitpunkt noch nicht unterstützten.
Da Google und andere Browseranbieter gemischte Inhalte immer weiter einschränken, müssen Webseiten ihre Struktur anpassen, um sicherzustellen, dass ihre Inhalte standardmäßig korrekt funktionieren.
Was genau ändert sich bei Chrome?
Chrome blockiert bereits gemischte Skripte und Iframes. Ab Chrome 80, der im Januar 2020 für Early-Release-Kanäle veröffentlicht wird, werden auch gemischte Audio- und Videoressourcen blockiert. Technisch gesehen versucht Chrome, diese über eine sichere HTTPS-Verbindung zu laden und blockiert sie, wenn dies nicht möglich ist. Gemischte Bilder werden zwar geladen, aber Chrome kennzeichnet die Webseite dann als „Nicht sicher“. Ab Chrome 81 wird auch das Laden von gemischten Bildern unterbunden. Nutzer haben weiterhin die Möglichkeit, gemischte Inhalte zu erlauben, jedoch ist dies nicht mehr die Standardeinstellung.
Diese Änderungen tragen dazu bei, das Web sicherer zu machen. In einem Blogbeitrag von Google heißt es, dass die Kennzeichnung „Nicht sicher“ Webseiten dazu anregen soll, ihre Bilder auf HTTPS umzustellen.
Wie man gemischte Inhalte in Chrome entsperrt
Chrome blockiert bereits einige Arten von gemischten Inhalten und zeigt ein Schildsymbol in der Adressleiste sowie eine Benachrichtigung „Unsicherer Inhalt blockiert“. Auf dieser von Google erstellten Beispielseite für gemischte Inhalte können Sie sehen, wie dies funktioniert. Um beispielsweise ein blockiertes Mixed-Content-Skript zu aktivieren, müssen Sie auf den Link „Unsichere Skripte laden“ klicken.
Sobald Sie die Ausführung gemischter Inhalte erlauben, ändert sich der Sicherheitsstatus der Webseite von „Sicher“ zu „Nicht sicher“.
Google vereinfacht dies in Chrome 79, der voraussichtlich im Dezember 2019 veröffentlicht wird. Sie müssen dann auf das Schlosssymbol links neben der Adressleiste klicken, dann auf „Website-Einstellungen“ und dort die gemischten Inhalte für die jeweilige Webseite entsperren.
Die Option wird zwar etwas versteckter platziert, aber genau das ist der Sinn der Sache: Die meisten Nutzer sollten gemischte Inhalte für Webseiten nie aktivieren. Webseitenbetreiber müssen ihre Seiten so überarbeiten, dass Ressourcen sicher bereitgestellt werden. Diese Option stellt sicher, dass auch Nutzer älterer Unternehmenswebseiten weiterhin darauf zugreifen können, selbst wenn gemischte Inhalte standardmäßig deaktiviert sind.
Wenn Sie eine Webseite benötigen, die diese Option erfordert, ist das kein Problem: Google hat noch keinen Termin bekannt gegeben, an dem die Option zum Laden von gemischten Inhalten in Chrome entfernt wird. Der Browser blockiert zwar standardmäßig alle gemischten Inhalte, wird aber die Möglichkeit, sie zu aktivieren, auf absehbare Zeit beibehalten.
Was ist mit anderen Browsern?
Chrome ist nicht der einzige Browser, der so vorgeht. Firefox blockiert ebenfalls gemischte Inhalte wie Skripte und Iframes. Um diese wieder zu aktivieren, muss man eine Einstellung namens „Schutz vorübergehend deaktivieren“ vornehmen. Wir gehen davon aus, dass Mozilla dem Beispiel von Google folgen wird. Auch Apples Safari verfolgt einen aggressiven Ansatz bei der Blockierung von gemischten Inhalten.
Und natürlich basiert der neue Edge-Browser von Microsoft auf dem Chromium-Code, der auch Google Chrome zugrunde liegt, und wird sich daher ähnlich verhalten.