21 Reaktionen

Firefox 23 kommt mit aktiviertem Mixed Content Blocker

Geschätzte Lesedauer:

Mit Firefox 23 wird ein neues Feature standardmäßig aktiviert sein, welches die Sicherheit beim Surfen im Internet weiter verbessern soll. Ein Mixed Content Blocker soll aktiven HTTP-Content auf HTTPS-Seiten blockieren. Was dies meint und inwiefern der Nutzer hiervon profitiert, wird in diesem Artikel erklärt.

Was ist Mixed Content?

Der Vorteil von Verbindungen über HTTPS gegenüber HTTP ist, dass die Daten hierbei abhörsicher übertragen werden, was den Anwender vor Man-in-the-Middle-Attacken schützt. Allerdings bedeutet der Aufruf einer Webseite über HTTPS nicht automatisch, dass alle Ressourcen einer Webseite verschlüsselt übertragen werden, so können Bilder, Stylesheets, JavaScripts oder Frames auch auf einer über HTTPS aufgerufenen Webseite über HTTP angefragt und für Angriffe ausgenutzt werden. In einem solchen Fall spricht man von Mixed Content.

Der Mixed Content Blocker von Firefox blockiert bestimmte HTTP-Anfragen auf HTTPS-Webseiten, allerdings nicht alle. Um zu verstehen, was Firefox ab Version 23 standardmäßig blockiert, muss zunächst geklärt werden, welche zwei Arten von Mixed Content es gibt, nämlich Mixed Passive Content und Mixed Active Content.

Mixed Passive Content

Bei Mixed Passive Content handelt es sich um HTTP-Content auf einer HTTPS-Webseite, welcher nicht das Document Object Model (DOM) einer Webseite verändern kann, das können beispielsweise Bilder, Videos oder Audio sein. Ein Angreifer könnte diese austauschen, das hätte allerdings keinen größeren Einfluss auf den Rest der Webseite.

Nichtsdestominder kann auch Mixed Passive Content ein ernsthaftes Problem sein, da sich Rückschlüsse über die Aktivitäten eines Nutzers ziehen lassen könnten, indem zum Beispiel geschaut wird, welche Bilder an einen Nutzer geliefert werden. Da gewisse Bilder nur auf einer bestimmten Webseite erscheinen, könnte ein Angreifer so erfahren, welche Webseite ein Nutzer besucht. Darüberhinaus könnte der Angreifer die HTTP-Header, welche mit dem Bild gesendet werden, beobachten, inklusive User-Agent und sämtlichen Cookies, welche mit der Domain in Verbindung stehen, von welcher das Bild bezogen wird. Handelt es sich dabei um die selbe Domain wie die eigentliche Webseite, ist so der ganze Schutz durch HTTPS nutzlos, weil der Angreifer die Cookies des Benutzers aus den Headern der unverschlüsselt übertragenen Bilder auslesen kann.

Mixed Active Content

Mixed Active Content hat im Gegensatz dazu die Möglichkeit, das Verhalten einer HTTPS-Webseite zu verändern, und damit das Potential, sensible Nutzerdaten zu stehlen. Beispiele für Mixed Active Content sind über HTTP ausgelieferte Stylesheets, JavaScripts, Objekte, XHR-Requests, Fonts sowie iFrames. Bei letzterem gibt es Uneinigkeit zwischen den Browserherstellern, ob es sich dabei um Mixed Active Content oder Mixed Passive Content handelt, Mozilla geht hierbei im Gegensatz zu Google, welche dies als Mixed Passive Content einstufen, mit Microsoft mit und sieht dies als Mixed Active Content.

Ein Angreifer könnte die HTTP-Anfragen abfangen, die Antwort umschreiben und dabei schadhaften Code einschleusen. Dieser Code könnte dann sensible Nutzerdaten stehlen oder dazu genutzt werden, um Malware auf dem System des Nutzers zu installieren, indem man sich unsichere Plugins auf dem System des Nutzers zum Vorteil macht. In diesem Zusammenhang sei nochmals auf Mozillas Plugincheck hingewiesen, welcher die wichtigsten aktivierten Plugins auf Aktualität überprüft.

Mixed Content Blocker – was wird standardmäßig blockiert, was wird nicht blockiert?

Mozillas Mixed Content Blocker blockiert standardmäßig ab Firefox 23 sämtlichen Mixed Active Content. Mixed Passive Content hingegen wird nicht blockiert. Mixed Passive Content stellt auch ein reales Problem dar, allerdings sieht Mozilla hier derzeit noch das Problem, dass das Web noch nicht bereit dafür ist, Mixed Passive Content zu blockieren, zu viele Webseiten gingen dadurch kaputt, YouTube wird als Beispiel genannt. Infolgedessen würden die Nutzer außerdem zu häufig gewarnt werden, was die Wirkung der Warnung, wenn sie wirklich angebracht ist, reduziert. Außerdem sei das Blockieren von Mixed Passive Content ein Problem für Nutzer mit langsamen Internet-Verbindungen. Webseiten würden unter Umständen damit beginnen, sämtliche über HTTP angefragte Bilder und Videos ihrer HTTPS-Webseite über HTTPS einzubinden, um keine Warnung zu generieren. Dadurch, dass diese Verbindungen dann alle verschlüsselt würden, könnte sich dies spürbar auf die Geschwindigkeit der Webseite auswirken. Dieses Problem spielt für Mixed Active Content eine wesentlich geringere Rolle.

Wie kann ich auch Mixed Passive Content blockieren oder wie kann ich den Mixed Content Blocker komplett deaktivieren?

Der Mixed Content Blocker kann per Eingriff in about:config um einen Schutz vor Mixed Passive Content erweitert werden. Dazu muss lediglich der Schalter security.mixed_content.block_display_content gesucht und per Doppelklick auf true geschaltet werden.

Der Mixed Content Blocker lässt sich aber auch deaktivieren. Dazu muss ganz einfach der Schutz sowohl für Mixed Active Content als auch für Mixed Passive Content auf false stehen. Der Schalter für Mixed Active Content ist security.mixed_content.block_active_content.

Wie zeigt sich der Mixed Content Blocker?

Bei aktiviertem Mixed Content Blocker zeigt sich bei Besuch einer Webseite über HTTPS mit Mixed Content der Blocker in Form eines Icons in der Adressleiste. Per Klick auf dieses Icon hat der Nutzer die Möglichkeit, mehr darüber zu erfahren, den Mixed Content weiter zu blockieren oder den Schutz auf dieser Webseite aufzuheben.

Firefox 23 Mixed Content Blocker

Entschließt sich der Nutzer dafür, den Schutz aktiviert zu lassen, verschwindet das Icon aus der Adressleiste und der Mixed Content bleibt blockiert. Entschließt sich der Nutzer hingegen dafür, den Schutz für diese Webseite zu deaktivieren, dann wird der Mixed Content geladen und aus dem grauen Schloss-Symbol in der Adressleiste wird ein gelbes Warndreieck mit Ausrufezeichen.

Besucht der Nutzer eine HTTPS-Webseite mit Mixed Passive Content und hat nichts an den Einstellungen verändert, so wird dieser Mixed Passive Content zwar nicht blockiert, aus dem grauen Schloss-Symbol wird stattdessen allerdings eine graue Weltkugel, wie bei gewöhnlichen HTTP-Seiten auch.

Mozilla betont, dass der Mixed Content Blocker noch nicht immer perfekt arbeitet und man noch bestimmte Grenzfälle berücksichtigen müsse, wollte die Nutzer aber nicht länger auf diesen zusätzlichen Schutz warten lassen, weshalb dieser mit Firefox 23 standardmäßig aktiviert sein wird.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und Mozilla Repräsentant (Alumnus). Neben diesem Mozilla-Blog betreibt er unter anderem noch firefoxosdevices.org sowie das Fußball-Portal Soccer-Zone und ist außerdem Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox.

17 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Simon
    schrieb am :

    Also ich hab das mit dem Blockieren von MixedContent mal ausprobiert vor ein paar Wochen und erst heute herausgefunden das dies der Auslöser dafür war, dass Youtube nicht funktioniert hat „auf einmal“.

    Die Kombination mit HTTPS-Everywhere von EFF war irgendwie tödlich.

    Bin mir nicht sicher ob es hilfreich ist sowas von sich aus standartmäßig zu aktivieren, der normale Nutzer hat keine Ahnung warum eventuell seine Lieblingsseite nicht mehr geht

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Anders als durch eine standardmäßige Aktivierung können die meisten Nutzer ja nicht geschützt werden, weil sie diese Einstellung wahrscheinlich niemals finden werden und häufig auch überfordert wären, die Entscheidung zu treffen. Als Browserhersteller ist Mozilla in der Rolle, die Nutzer bestmöglich schützen zu müssen. YouTube funktioniert mit diesen Standard-Einstellungen in jedem Fall ohne Probleme, dort findet sich lediglich Mixed Passive Content und dieser wird standardmäßig nicht blockiert.

  3. Martin
    schrieb am :

    Also ich hab mit Firefox 21 Probleme Youtube-Videos von der verschlüsselten Seite anzuschauen, wenn der Mixed Active Content Blocker aktiviert ist. Im Video erscheint dann die Meldung „Ein Fehler ist aufgetreten, versuche es später erneut.“. Sobald der Mixed Active Content Blocker deaktiviert ist funktioniert es wieder.

  4. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Ich habe es eben mit der aktuellsten Firefox 21 Beta-Version und einem frischen Firefox-Profil getestet – keine Probleme mit aktiviertem Mixed Content Blocker und YouTube. Zeitweise gab es in irgendeiner Version Probleme mit YouTube-Videos, das stimmt schon, daran erinnere ich mich auch noch vom Testen. Allerdings tritt das nicht mehr in aktuellen Firefox-Versionen auf. Es handelt sich dabei ja um kein offizielles Feature von Firefox 21, der Mixed Content Blocker ist erst ab Firefox 23 in einem massentauglichen Zustand. 😉

  5. Leser0815
    schrieb am :

    Ich glaube so was hat die NoScript Erweiterung schon eingebaut…

  6. MagnaSedna
    schrieb am :

    Wenn du jetzt noch erklären kannst, wie ein Addon für JavaScript einen Mixed-Content-Blocker für HTTP(S) integriert haben kann, wäre dir hier jeder sehr dankbar.

  7. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Ich hab mir NoScript mal eben testweise installiert, das hier sieht nach sowas aus:
    http://s1.directupload.net/images/130429/6xnp97hw.png

  8. MagnaSedna
    schrieb am :

    Achso, ok, die Funktion kannte ich bei NoScript noch nicht, deswegen fragte ich.

  9. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Jo, kannte ich vor dem Kommentar auch nicht. Mir kommt eine solche Erweiterung aber auch nicht (außer zu Testzwecken) in den Firefox. 😀

  10. schrieb am :

    Hallo Sören,
    kann das mit Problem mit MixedContent bei Martin bestätigen.
    Auch nach dem Update von 21b4 auf 21b5 geht es nicht mit beiden Optionen auf true.

    Lösung für mich:
    security.mixed_content.block_active_content   = true
    security.mixed_content.block_display_content = false

    lg
    Daniel
     

  11. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Genau das habe ich ja in meinem Kommentar auch gesagt:

    YouTube funktioniert mit diesen Standard-Einstellungen in jedem Fall ohne Probleme, dort findet sich lediglich Mixed Passive Content und dieser wird standardmäßig nicht blockiert.

    So wie du deine Schalter gesetzt hast, ist es die Standard-Einstellung von Firefox 23+ und zwischen Firefox 18 und Firefox 22 waren beide Schalter standardmäßig auf false, damit gab es sowieso keine Probleme. 😉

  12. Daniel
    schrieb am :

    Ok.
    Muss ich wohl überlesen haben.

     

  13. tomboy
    schrieb am :

    Kann das blocken von Bilder in HTTPS auch Problematisch sein? Denn dann würde ich genau das gerne machen.

    [OffTopic] @Sören Hentzschel

    Du scheinst dich recht gut mit FF aus zu kennen. Kleine Frage. Ich ärgere mich recht stark darüber, dass Firefox wenn ich in der Adresszeile schlüsselbefehle verwende (z.B. L für übersetzungen) und ich vergesse das schlüsselwort dann löscht mir Firefox die Ganze zeile und ich kann es nicht mehr korrigieren. Besonders nervig ist das in der Mobilen Variante. Dort habe ich zudem das Problem, dass ich manchmal vertipper drin habe die das selbe auslösen. Kann ich das irgendwie beheben?

  14. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Das kann halt insofern problematisch sein als dass unter Umständen Bilder fehlen. 😉 Du kannst es ja einfach mal testen und dann gegebenenfalls wieder zurück ändern, falls es nicht deinen Vorstellungen entspricht.

    Kannst du bezüglich des zweiten Absatzes mal ganz genau beschreiben, was ich machen muss, um das Problem nachvollziehen zu können? Ich nutze nämlich keine Schlüsselwörter.

  15. tomboy
    schrieb am :

    Letztenendes geht es nicht in erster linie um die Schlüsselbefehle (da ist es mir nur zuletzt passiert). Ich hab es grad nochmal nachgestellt („glück“ gehabt, das mir das grad nochmal passiert ist). Es geht darum, wenn ich eine webseite manuell in die Adressleiste eingebe und enter drücke dann kommt es vor, das die seite ewig läd und nix passiert.

    Häufig reicht es dass man das abbricht und nochmal neu läd, die Seite ist dann häufig Zack da.  (nervt mich schon seit version 2) Leider darf ich bei Webseiten die ich manuell eingetragen habe nicht abbrechen, weil er dann da auch den Inhalt der Adresszeile löscht. Bei Desktop und bei Mobiltelefon.

  16. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Also so ein Problem hatte ich noch nie mit Firefox, hier werden immer alle Seiten ohne Probleme geladen. Tritt das Problem auch im Abgesicherten Modus (Hilfe > Mit deaktivierten Add-ons neu starten) auf?

  17. teleborian
    schrieb am :

     

    Keine Ahnung müsste ich mal testen.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.