27. Okt 2014
Inhalte korrekt in eine sichere Webseite einbetten
Hat man schon einmal eine eigene Homepage erstellt oder surft viel im WWW, sieht man früher oder später Warnungen folgender Art „Unsichere Inhalte werden blockiert.“ „Diese Seite enthält unsichere Inhalte.“ Diese werden abhängig vom jeweiligen Browser unterschiedlich dargestellt. Und verunsichern viele Nutzer.
Hier findet Ihr eine Anleitung, die euch dabei hilft, diese Warnungen auf euren eigenen Seiten zu vermeiden.
Visuelle Warnungen in verschiedenen Browsern
- Internet Explorer
- Chrome
- Firefox
Begrifflichkeiten
Unsicherer/gemischter Inhalt
… bezeichnet Ressourcen, wie Bilder oder Medien, auf verschlüsselten Webseiten, die unverschlüsselt übertragen werden.
Diese Inhalte erzeugen i.a. nur Warnungen, werden aber z.B. in Chrome, Safari und Firefox angezeigt.
Beispiel
Auf einer Webseite, die über https://
aufgerufen wird, könnte sich folgendes Bild befinden: <img src="http://uni-halle.de/im/sod/common/img/signet_center.jpg" alt="Schriftzug der Martin-Luther-Universtät Halle-Wittenberg" />
Unsicherer, aktiver Inhalt
… ist eine spezielle Variante, bei der die Quelle des Inhalts mittels Variablen in ihrer Adresse referenziert werden, oder solche, die per Script- oder Frame-Element eingebunden werden
Diese Inhalte werden i.a. komplett geblockt.
Beispiel
Auf einer Webseite, die über https://
aufgerufen wird, könnte eine Schriftart wie folgt eingebunden werden: <link rel="stylesheet" id="droidsans-css" href="http://fonts.googleapis.com/css?family=Droid+Sans" type="text/css" media="all">
Lösungsansätze
Allgemein gilt: Sollen Inhalte des gleichen Servers eingebunden werden, kann man http[s]://{servername}
weglassen, sodass man nur noch die Resourcen mit vorangehendem Slash („/“) benennen muss.
Inhalte externer Seiten sollten nach Möglichkeit protokoll-frei (ohne „http:“ oder „https:“) eingebunden werden. Das Ergebnis wäre dann eine URL der Art //glauben.uni-halle.de/kontakt
. Das Protokoll wird dann vom Browser definiert, abhängig davon, wie auf die eigentliche Seite zugegriffen wird. Voraussetzung dafür ist aber, dass die eingebundene Quelle sowohl über https als auch http die gleichen Inhalte liefert.
Zusätzlich muss man für aktive Inhalte, von anderen Servern seitens des eigenen Webseiten-Servers einen entsprechenden Header mitsenden, der den anderen Server erlaubt.
Verweise
- https://developer.mozilla.org/de/docs/Sicherheit/MixedContent
- https://community.qualys.com/blogs/securitylabs/2014/03/19/https-mixed-content-still-the-easiest-way-to-break-ssl
- http://de.wikipedia.org/wiki/Uniform_Resource_Locator
- http://de.wikipedia.org/wiki/Same-Origin-Policy
- http://de.wikipedia.org/wiki/Cross-Origin_Resource_Sharing