Chrome starts to block mixed Content - Chrome wird Mixed Content (nicht aktive http Ressourcen in https Seiten wie Bilder, Audio und Video-Dateien) ab Februar 2020 vollständig blockieren
No More Mixed Messages About HTTPS
blog.chromium.orgToday we’re announcing that Chrome will gradually start ensuring that https:// pages can only load secure https:// subresources. In a series...
Persönlich wundere ich mich darüber ja eher: Da stellen Leute ihre Websites von http auf https um, verschlüsseln diese also.
Und dann werden in der Seite diverse aktive Ressourcen - CSS-Dateien, JavaScript und Fonts - weiterhin per http, also unverschlüsselt eingebunden. Diese blocken Browser bereits standardmäßig.
Aber Bilder, Audio- und Videodateien können weiterhin per http eingebunden werden.
Mit dem Ergebnis, daß das in jedem Browser "häßlich" aussieht, wenn der Browser nicht ein Schloß, sondern etwas wie "nicht sicher" anzeigt.
Chrome will diesen "Mixed Content" (gemischtem Inhalt) nun jedenfalls grundsätzlich nicht mehr anzeigen.
.
No More Mixed Messages About HTTPS
https://blog.chromium.org/2019/10/no-more-mixed-messages-about-https.html
.
Das Endergebnis: Websites, die per https geladen werden, können auch nur noch Inhalte per https laden.
In den letzten Jahren hat das "verschlüsselte Web" große Fortschritte gemacht. Chrome-Nutzer verbringen inzwischen mehr als 90 % ihrer Zeit auf verschlüsselten Seiten.
Aber: Aktive Inhalte (zu den obigen kommen noch iFrames dazu) werden von Browsern bereits blockiert. Nicht aktive Inhalte sind jedoch noch zulässig. Das führt zu Sicherheitsproblemen:
> For example, an attacker could tamper with a mixed image of a stock chart to mislead investors, or inject a tracking cookie into a mixed resource load.
Ein Angreifer kann Bilder mit Aktienkursen manipulieren. Oder ein Tracking Cookie über so einen mixed Content einschleusen.
Ferner ist die Browser-UI unklar: Die Seite ist weder sicher noch unsicher, sondern irgendetwas dazwischen.
In Chrome 79 (Dezember 2019) wird es eine Option geben, mit der blockierter Mixed Content auf einzelnen Seiten zulässig sein wird. Das soll auch für Scripte und iFrames gelten, die Chrome aktuell standardmäßig blockiert. Das ist also erst einmal eine Aufweichung.
Chrome 80 (Januar 2020) wird eine Autoupgrade-Funktion bekommen: Mixed Audio- und Videodateien werden blockiert, aber der Browser prüft, ob die Ressource per https erreichbar ist. Falls ja, wird die https - Version geladen. Wenn Seiten weiterhin Ressourcen per http einbinden, können Nutzer Ausnahmen definieren.
Ferner werden Seiten mit Mixed Content als "Not Secure" angezeigt. Entwickler sollen dazu gebracht werden, die Sites komplett auf https umzustellen.
Chrome 81 (Februar 2020) wird ebenfalls die Autoupgrade-Funktion nutzen. Gibt es keine https-Version, wird die http-Version blockiert. Das hieße, daß es Nutzern ab Februar 2020 nicht mehr möglich ist, eine Ausnahme zu definieren.
Tools zum Aufspüren von Mixed Content gibt es diverse. Beim Herumbauen an meiner Testseite https://check-your-website.server-daten.de/ fiel allerdings auf, daß Browser die Quelle für Mixed Content manchmal falsch anzeigen. Denn eine Seite kann JavaScript ausführen, der Code lädt CSS-Definitionen. Diese haben url("http://bildressource") - Definitionen. In so einem Fall zeigen Chrome und FireFox das JavaScript als Quelle an. Nicht die CSS-Datei, die geändert werden muß. Der Test innerhalb von "check-your-website" zeigt stattdessen die korrekte CSS-Datei an.
Mal sehen, ob FireFox und Safari nachziehen werden.