Firefox 23 kommt mit aktiviertem Mixed Content Blocker
Mit Firefox 23 wird ein neues Feature standardmäßig aktiviert sein, welches die Sicherheit beim Surfen im Internet weiter verbessern soll. Ein Mixed Content Blocker soll aktiven HTTP-Content auf HTTPS-Seiten blockieren. Was dies meint und inwiefern der Nutzer hiervon profitiert, wird in diesem Artikel erklärt.
Was ist Mixed Content?
Der Vorteil von Verbindungen über HTTPS gegenüber HTTP ist, dass die Daten hierbei abhörsicher übertragen werden, was den Anwender vor Man-in-the-Middle-Attacken schützt. Allerdings bedeutet der Aufruf einer Webseite über HTTPS nicht automatisch, dass alle Ressourcen einer Webseite verschlüsselt übertragen werden, so können Bilder, Stylesheets, JavaScripts oder Frames auch auf einer über HTTPS aufgerufenen Webseite über HTTP angefragt und für Angriffe ausgenutzt werden. In einem solchen Fall spricht man von Mixed Content.
Der Mixed Content Blocker von Firefox blockiert bestimmte HTTP-Anfragen auf HTTPS-Webseiten, allerdings nicht alle. Um zu verstehen, was Firefox ab Version 23 standardmäßig blockiert, muss zunächst geklärt werden, welche zwei Arten von Mixed Content es gibt, nämlich Mixed Passive Content und Mixed Active Content.
Mixed Passive Content
Bei Mixed Passive Content handelt es sich um HTTP-Content auf einer HTTPS-Webseite, welcher nicht das Document Object Model (DOM) einer Webseite verändern kann, das können beispielsweise Bilder, Videos oder Audio sein. Ein Angreifer könnte diese austauschen, das hätte allerdings keinen größeren Einfluss auf den Rest der Webseite.
Nichtsdestominder kann auch Mixed Passive Content ein ernsthaftes Problem sein, da sich Rückschlüsse über die Aktivitäten eines Nutzers ziehen lassen könnten, indem zum Beispiel geschaut wird, welche Bilder an einen Nutzer geliefert werden. Da gewisse Bilder nur auf einer bestimmten Webseite erscheinen, könnte ein Angreifer so erfahren, welche Webseite ein Nutzer besucht. Darüber hinaus könnte der Angreifer die HTTP-Header, welche mit dem Bild gesendet werden, beobachten, inklusive User-Agent und sämtlichen Cookies, welche mit der Domain in Verbindung stehen, von welcher das Bild bezogen wird. Handelt es sich dabei um die selbe Domain wie die eigentliche Webseite, ist so der ganze Schutz durch HTTPS nutzlos, weil der Angreifer die Cookies des Benutzers aus den Headern der unverschlüsselt übertragenen Bilder auslesen kann.
Mixed Active Content
Mixed Active Content hat im Gegensatz dazu die Möglichkeit, das Verhalten einer HTTPS-Webseite zu verändern, und damit das Potential, sensible Nutzerdaten zu stehlen. Beispiele für Mixed Active Content sind über HTTP ausgelieferte Stylesheets, JavaScripts, Objekte, XHR-Requests, Fonts sowie iFrames. Bei letzterem gibt es Uneinigkeit zwischen den Browserherstellern, ob es sich dabei um Mixed Active Content oder Mixed Passive Content handelt, Mozilla geht hierbei im Gegensatz zu Google, welche dies als Mixed Passive Content einstufen, mit Microsoft mit und sieht dies als Mixed Active Content.
Ein Angreifer könnte die HTTP-Anfragen abfangen, die Antwort umschreiben und dabei schadhaften Code einschleusen. Dieser Code könnte dann sensible Nutzerdaten stehlen oder dazu genutzt werden, um Malware auf dem System des Nutzers zu installieren, indem man sich unsichere Plugins auf dem System des Nutzers zum Vorteil macht. In diesem Zusammenhang sei nochmals auf Mozillas Plugincheck hingewiesen, welcher die wichtigsten aktivierten Plugins auf Aktualität überprüft.
Mixed Content Blocker – was wird standardmäßig blockiert, was wird nicht blockiert?
Mozillas Mixed Content Blocker blockiert standardmäßig ab Firefox 23 sämtlichen Mixed Active Content. Mixed Passive Content hingegen wird nicht blockiert. Mixed Passive Content stellt auch ein reales Problem dar, allerdings sieht Mozilla hier derzeit noch das Problem, dass das Web noch nicht bereit dafür ist, Mixed Passive Content zu blockieren, zu viele Webseiten gingen dadurch kaputt, YouTube wird als Beispiel genannt. Infolgedessen würden die Nutzer außerdem zu häufig gewarnt werden, was die Wirkung der Warnung, wenn sie wirklich angebracht ist, reduziert. Außerdem sei das Blockieren von Mixed Passive Content ein Problem für Nutzer mit langsamen Internet-Verbindungen. Webseiten würden unter Umständen damit beginnen, sämtliche über HTTP angefragte Bilder und Videos ihrer HTTPS-Webseite über HTTPS einzubinden, um keine Warnung zu generieren. Dadurch, dass diese Verbindungen dann alle verschlüsselt würden, könnte sich dies spürbar auf die Geschwindigkeit der Webseite auswirken. Dieses Problem spielt für Mixed Active Content eine wesentlich geringere Rolle.
Wie kann ich auch Mixed Passive Content blockieren oder wie kann ich den Mixed Content Blocker komplett deaktivieren?
Der Mixed Content Blocker kann per Eingriff in about:config um einen Schutz vor Mixed Passive Content erweitert werden. Dazu muss lediglich der Schalter security.mixed_content.block_display_content gesucht und per Doppelklick auf true geschaltet werden.
Der Mixed Content Blocker lässt sich aber auch deaktivieren. Dazu muss ganz einfach der Schutz sowohl für Mixed Active Content als auch für Mixed Passive Content auf false stehen. Der Schalter für Mixed Active Content ist security.mixed_content.block_active_content.
Wie zeigt sich der Mixed Content Blocker?
Bei aktiviertem Mixed Content Blocker zeigt sich bei Besuch einer Webseite über HTTPS mit Mixed Content der Blocker in Form eines Icons in der Adressleiste. Per Klick auf dieses Icon hat der Nutzer die Möglichkeit, mehr darüber zu erfahren, den Mixed Content weiter zu blockieren oder den Schutz auf dieser Webseite aufzuheben.
Entschließt sich der Nutzer dafür, den Schutz aktiviert zu lassen, verschwindet das Icon aus der Adressleiste und der Mixed Content bleibt blockiert. Entschließt sich der Nutzer hingegen dafür, den Schutz für diese Webseite zu deaktivieren, dann wird der Mixed Content geladen und aus dem grauen Schloss-Symbol in der Adressleiste wird ein gelbes Warndreieck mit Ausrufezeichen.
Besucht der Nutzer eine HTTPS-Webseite mit Mixed Passive Content und hat nichts an den Einstellungen verändert, so wird dieser Mixed Passive Content zwar nicht blockiert, aus dem grauen Schloss-Symbol wird stattdessen allerdings eine graue Weltkugel, wie bei gewöhnlichen HTTP-Seiten auch.
Mozilla betont, dass der Mixed Content Blocker noch nicht immer perfekt arbeitet und man noch bestimmte Grenzfälle berücksichtigen müsse, wollte die Nutzer aber nicht länger auf diesen zusätzlichen Schutz warten lassen, weshalb dieser mit Firefox 23 standardmäßig aktiviert sein wird.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.
Weitere aktuelle Artikel aus der Kategorie „Firefox“
- 23.04.2024Firefox öffnet von alleine Tabs mit https://0.0.0.1 als Adresse? Ursache und Lösung
- 22.04.2024Mozilla veröffentlicht Firefox 125.0.2
- 17.04.2024Mozilla veröffentlicht Firefox 125
- 08.04.2024Firefox 126 kann markierten Text übersetzen
- 07.04.2024Firefox soll Tab-Gruppen und vertikale Tabs bekommen
Also ich hab das mit dem Blockieren von MixedContent mal ausprobiert vor ein paar Wochen und erst heute herausgefunden das dies der Auslöser dafür war, dass Youtube nicht funktioniert hat „auf einmal“.
Die Kombination mit HTTPS-Everywhere von EFF war irgendwie tödlich.
Bin mir nicht sicher ob es hilfreich ist sowas von sich aus standartmäßig zu aktivieren, der normale Nutzer hat keine Ahnung warum eventuell seine Lieblingsseite nicht mehr geht
Anders als durch eine standardmäßige Aktivierung können die meisten Nutzer ja nicht geschützt werden, weil sie diese Einstellung wahrscheinlich niemals finden werden und häufig auch überfordert wären, die Entscheidung zu treffen. Als Browserhersteller ist Mozilla in der Rolle, die Nutzer bestmöglich schützen zu müssen. YouTube funktioniert mit diesen Standard-Einstellungen in jedem Fall ohne Probleme, dort findet sich lediglich Mixed Passive Content und dieser wird standardmäßig nicht blockiert.
Also ich hab mit Firefox 21 Probleme Youtube-Videos von der verschlüsselten Seite anzuschauen, wenn der Mixed Active Content Blocker aktiviert ist. Im Video erscheint dann die Meldung „Ein Fehler ist aufgetreten, versuche es später erneut.“. Sobald der Mixed Active Content Blocker deaktiviert ist funktioniert es wieder.
Ich habe es eben mit der aktuellsten Firefox 21 Beta-Version und einem frischen Firefox-Profil getestet – keine Probleme mit aktiviertem Mixed Content Blocker und YouTube. Zeitweise gab es in irgendeiner Version Probleme mit YouTube-Videos, das stimmt schon, daran erinnere ich mich auch noch vom Testen. Allerdings tritt das nicht mehr in aktuellen Firefox-Versionen auf. Es handelt sich dabei ja um kein offizielles Feature von Firefox 21, der Mixed Content Blocker ist erst ab Firefox 23 in einem massentauglichen Zustand. 😉
Ich glaube so was hat die NoScript Erweiterung schon eingebaut…
Wenn du jetzt noch erklären kannst, wie ein Addon für JavaScript einen Mixed-Content-Blocker für HTTP(S) integriert haben kann, wäre dir hier jeder sehr dankbar.
Ich hab mir NoScript mal eben testweise installiert, das hier sieht nach sowas aus:
http://s1.directupload.net/images/130429/6xnp97hw.png
Achso, ok, die Funktion kannte ich bei NoScript noch nicht, deswegen fragte ich.
Jo, kannte ich vor dem Kommentar auch nicht. Mir kommt eine solche Erweiterung aber auch nicht (außer zu Testzwecken) in den Firefox. 😀
Hallo Sören,
kann das mit Problem mit MixedContent bei Martin bestätigen.
Auch nach dem Update von 21b4 auf 21b5 geht es nicht mit beiden Optionen auf true.
Lösung für mich:
security.mixed_content.block_active_content = true
security.mixed_content.block_display_content = false
lg
Daniel
Genau das habe ich ja in meinem Kommentar auch gesagt:
So wie du deine Schalter gesetzt hast, ist es die Standard-Einstellung von Firefox 23+ und zwischen Firefox 18 und Firefox 22 waren beide Schalter standardmäßig auf false, damit gab es sowieso keine Probleme. 😉
Ok.
Muss ich wohl überlesen haben.
Kann das blocken von Bilder in HTTPS auch Problematisch sein? Denn dann würde ich genau das gerne machen.
[OffTopic] @Sören Hentzschel
Du scheinst dich recht gut mit FF aus zu kennen. Kleine Frage. Ich ärgere mich recht stark darüber, dass Firefox wenn ich in der Adresszeile schlüsselbefehle verwende (z.B. L für übersetzungen) und ich vergesse das schlüsselwort dann löscht mir Firefox die Ganze zeile und ich kann es nicht mehr korrigieren. Besonders nervig ist das in der Mobilen Variante. Dort habe ich zudem das Problem, dass ich manchmal vertipper drin habe die das selbe auslösen. Kann ich das irgendwie beheben?
Das kann halt insofern problematisch sein als dass unter Umständen Bilder fehlen. 😉 Du kannst es ja einfach mal testen und dann gegebenenfalls wieder zurück ändern, falls es nicht deinen Vorstellungen entspricht.
Kannst du bezüglich des zweiten Absatzes mal ganz genau beschreiben, was ich machen muss, um das Problem nachvollziehen zu können? Ich nutze nämlich keine Schlüsselwörter.
Letztenendes geht es nicht in erster linie um die Schlüsselbefehle (da ist es mir nur zuletzt passiert). Ich hab es grad nochmal nachgestellt („glück“ gehabt, das mir das grad nochmal passiert ist). Es geht darum, wenn ich eine webseite manuell in die Adressleiste eingebe und enter drücke dann kommt es vor, das die seite ewig läd und nix passiert.
Häufig reicht es dass man das abbricht und nochmal neu läd, die Seite ist dann häufig Zack da. (nervt mich schon seit version 2) Leider darf ich bei Webseiten die ich manuell eingetragen habe nicht abbrechen, weil er dann da auch den Inhalt der Adresszeile löscht. Bei Desktop und bei Mobiltelefon.
Also so ein Problem hatte ich noch nie mit Firefox, hier werden immer alle Seiten ohne Probleme geladen. Tritt das Problem auch im Abgesicherten Modus (Hilfe > Mit deaktivierten Add-ons neu starten) auf?
Keine Ahnung müsste ich mal testen.