Mixed Content
Was ist Mixed Content?
Mixed ContentSituation, in der eine HTTPS-Seite Subressourcen (Skripte, Styles, Bilder, XHR) uber unverschlusseltes HTTP ladt und so die Sicherheitsgarantien schwacht.
Mixed Content entsteht, wenn eine uber HTTPS ausgelieferte Seite Skripte, Stylesheets, Bilder, Schriftarten oder Fetch-Anfragen von unsicheren http://-URLs einbindet. Aktiver Mixed Content (Skripte, iframes, XHR) ist besonders gefahrlich, weil ein Angreifer auf dem Pfad die Antwort umschreiben und Code in den sicheren Kontext einschleusen kann, was Vertraulichkeit und Integritat bricht. Moderne Browser blockieren aktiven Mixed Content standardmassig und upgraden oder blockieren passive Inhalte wie Bilder. Gegenmassnahmen: alle Assets uber HTTPS ausliefern, absolute https://-URLs verwenden, CSP-Direktive upgrade-insecure-requests sowie HSTS, um HTTPS site-weit zu erzwingen.
● Beispiele
- 01
Eine HTTPS-Checkout-Seite, die ein Drittanbieter-Analytics-Skript uber http:// ladt, kann zur Kartendaten-Skimming gekapert werden.
- 02
Browser-Konsole: "Mixed Content: Die Seite wurde uber HTTPS geladen, forderte aber ein unsicheres Skript an".
● Häufige Fragen
Was ist Mixed Content?
Situation, in der eine HTTPS-Seite Subressourcen (Skripte, Styles, Bilder, XHR) uber unverschlusseltes HTTP ladt und so die Sicherheitsgarantien schwacht. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Mixed Content?
Situation, in der eine HTTPS-Seite Subressourcen (Skripte, Styles, Bilder, XHR) uber unverschlusseltes HTTP ladt und so die Sicherheitsgarantien schwacht.
Wie funktioniert Mixed Content?
Mixed Content entsteht, wenn eine uber HTTPS ausgelieferte Seite Skripte, Stylesheets, Bilder, Schriftarten oder Fetch-Anfragen von unsicheren http://-URLs einbindet. Aktiver Mixed Content (Skripte, iframes, XHR) ist besonders gefahrlich, weil ein Angreifer auf dem Pfad die Antwort umschreiben und Code in den sicheren Kontext einschleusen kann, was Vertraulichkeit und Integritat bricht. Moderne Browser blockieren aktiven Mixed Content standardmassig und upgraden oder blockieren passive Inhalte wie Bilder. Gegenmassnahmen: alle Assets uber HTTPS ausliefern, absolute https://-URLs verwenden, CSP-Direktive upgrade-insecure-requests sowie HSTS, um HTTPS site-weit zu erzwingen.
Wie schützt man sich gegen Mixed Content?
Schutzmaßnahmen gegen Mixed Content kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- appsec№ 214
Content Security Policy (CSP)
HTTP-Antwort-Header, der dem Browser mitteilt, welche Quellen für Skripte, Styles, Frames und andere Inhalte erlaubt sind, und so XSS- und Datendiebstahlangriffe begrenzt.
- network-security№ 497
HTTP Strict Transport Security (HSTS)
Eine über einen HTTP-Antwortheader übermittelte Sicherheitsrichtlinie, die Browser anweist, eine Domain für einen festgelegten Zeitraum nur über HTTPS aufzurufen.
- attacks№ 651
Man-in-the-Middle-Angriff
Angriff, bei dem ein Angreifer Kommunikation zwischen zwei Parteien heimlich weiterleitet oder verändert, während beide glauben, direkt miteinander zu sprechen.
- network-security№ 1159
TLS (Transport Layer Security)
Das von der IETF standardisierte Kryptoprotokoll, das Vertraulichkeit, Integrität und Authentizität für den Verkehr zwischen zwei Netzwerkanwendungen liefert.
- appsec№ 1114
Subresource Integrity (SRI)
Browser-Mechanismus, der den kryptografischen Hash eines von Dritten geladenen Skripts oder Stylesheets vor der Ausführung prüft und manipulierte Dateien blockiert.
- appsec№ 960
Same-Origin Policy (SOP)
Browser-Sicherheitsregel, die einschrankt, wie ein Dokument oder Skript einer Origin mit Ressourcen einer anderen Origin interagieren darf.