Google hat eine einschneidende Änderung seines Browsers Chrome angekündigt, um die Privatsphäre der Nutzer und die Sicherheit im Web besser zu schützen. Zukünftig wird sogenannter Mixed Content blockiert werden, so dass Ressourcen von HTTPS-Seiten, die nur über HTTP verfügbar sind, nicht mehr geladen werden.

Erhöhte Sicherheit dank Blockierung

Bereits heute blockieren Browser standardmässig viele Arten von Mixed Content, wie Skripte und Iframes. Bilder, Audio und Video aber dürfen weiterhin geladen werden, was die Privatsphäre und Sicherheit der Benutzer gefährdeten. Einem Angreifer wäre es beispielsweise möglich, Bilder zu manipulieren oder ein Tracking-Cookie in einer gemischte Ressourcenauslastung einsetzen. Durch das Laden von Mixed Content ergibt sich aber auch eine verwirrenden Browsersicherheit UX. Denn die entsprechende Seite ist weder sicher noch unsicher.

Neuerungen werden schrittweise eingeführt
Google plant die Einführung der Blockierung von Mixed Content schrittweise, es werden also nicht alle gemischten Inhalte auf einmal blockiert.

Diese Neuerung wird mit der Chrome Version 79 im Dezember 2019 erstmals eingeführt. Ab dann wird Chrome schrittweise Mixed Content standardmässig blockieren. Um die Auswirkungen so gering wie möglich zu halten, werden entsprechende Ressourcen automatisch auf HTTPS umgestellt, sofern sie auf diese Weise verfügbar sind. Die User haben zudem die Möglichkeit, das Blockieren der Ressourcen für ausgewählte Websites zu deaktivieren. Diese Einstellung kann für Skripte, Iframes und andere Arten von Inhalten, die Chrome standardmässig blockiert, verwendet werden. Die Option lässt sich durch Klicken auf das Schloss-Symbol auf jeder HTTPS-Seite und einer entsprechenden Anpassung in den Einstellungen aktivieren. Das Schloss-Symbol wird das bisherige Schild-Symbol auf der rechten Seite der Omnibox ersetzen.

Die Lancierung von Chrome 80 ist auf Ende Januar 2020 geplant und wird weitere Neuerung mit sich bringen. Unsichere Bilder werden dann ladbar, allerdings werden sie einen Sicherheitshinweis in der Omnibox auslösen. Webseiten-Betreiber und Entwickler können den Sicherheitshinweis aber blockieren, indem sie Upgrade-Insecure-Requests im Header setzen oder der Block-all-mixed-Content-Direktive folgen. Audio- und Videoinhalte werden automatisch von HTTP auf HTTPS migriert werden. Ist die Migration nicht erfolgreich, werden die Inhalte blockiert, was mit der neuen Funktion jedoch manuell durch die Nutzer aufgehoben werden kann. Ebenso zeigt Chrome in Version 80 den Hinweis „Nicht sicher“ an, sofern Bilder noch als Mixed Content übertragen werden.

Chrome 81, der im Februar 2020 erscheinen soll, wird das Auto-Upgrade-Verhalten dann auch für Bilder beinhalten, so dass unsichere Bilder automatisch auf HTTPS umgestellt oder blockiert werden, wenn sie nicht per HTTPS verfügbar sind.

Ressourcen per HTTPS verfügbar machen
Website-Betreiber sollten also bereits jetzt darauf achten, dass alle auf ihren Seiten genutzten Ressourcen auch per HTTPS verfügbar sind. Speziell für Entwickler hat Google folgende Empfehlungen:

• Um Mixed Content auf einer Webseite zu identifizieren und zu korrigieren, kann Content Security Policy und Lighthouse Audit verwendet werden
• CDN, Webhost oder Content-Management-System bieten teils Tools zum Debuggen von Mixed Content.
• Es gibt auch Browsererweiterungen, welche Mixed Contend identifizieren und die jeweiligen Punkte ausgeben. Bspw. Die Chrome Console

Hier die Meldung von Google zum Update (englisch): https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.html

Haben Sie noch Mixed Content auf Ihrer Webseite? Gerne helfen wir Ihnen weiter