Der "Mixed Content Blocker" in Firefox (ab Version 23)

Firefox (60px)
Firefox 23 führt einen sogenannten "Mixed Content Blocker" aus. Aber was ist "Mixed Content", und wie geht man mit diesem Blocker um?

Wer sichergehen möchte, dass eine Webseite auf dem Weg vom Webanbieter zum eigenen Webbrowser nicht manipuliert wird, benutzt das Webprotokoll "HTTPS". Dazu wird vor die Webadresse einfach https:// geschrieben, wie z.B. bei unserer Webadresse https://www.verbraucher-sicher-online.de. Voraussetzung ist lediglich, dass der Webanbieter diesen HTTPS-Zugang auch anbietet.

Nun werden für die Darstellung einer Webseite im Hintergrund weitere Webinhalte dazugeladen, wie beispielsweise Bilder und Multimediainhalte, aber auch Skripte (Javascript) oder Formatangaben (CSS). Es kann nun vorkommen, dass der Webanbieter diese Inhalte nicht vollständig über HTTPS nachlädt, sondern einige 'nur' über das unverschlüsselte HTTP-Protokoll. Bei Bildern mag dies noch harmlos sein, aber wenn beispielsweise ein Skript ungesichert nachgeladen wird, könnte es jemand böswillig manipulieren. Eine Webseite, die per HTTPS aufgerufen werden, aber weitere Inhalte über das ungesicherte HTTP nachladen, wird als "Mixed Content" bezeichnet.

Bisher hatte Firefox solchen Mixed Content schweigend heruntergeladen und die Webseite dargestellt, was nicht im Sinne des sicherheitsbewußten Nutzer ist. Version 23 führt nun den "Mixed Content Blocker" als expliziten Mechanismus ein, der Mixed-Content-Webseiten blockiert, aber dem Nutzer die Möglichkeit gibt, diese Blockierung explizit aufzuheben.

Wie sieht dies genau aus?

Firefox 23: Mixed Content Blocker (Schild neben Adressleiste)Firefox 23: Mixed Content Blocker (Schild neben Adressleiste)

  • Wenn man eine Webseite mit Mixed Content ansteuert, dann bleibt das Browserfenster leer. Zusätzlich erscheint in rechts außen in der Adressleiste ein graues Schildsymbol.

  • Klickt man auf dieses Schildsymbol, dann erhält man Informationen zur Blockierung der Seite. Unten rechts kann man nun die Schaltfläche "Weiter blockieren" betätigen, oder das Dreieck daneben anklicken und "Schutz auf dieser Seite deaktivieren" wählen, um die Seite trotzdem anzuzeigen.

 

Firefox 23: Webseite mit Mixed Content (Warndreieck in Adressleiste)Firefox 23: Webseite mit Mixed Content (Warndreieck in Adressleiste) Wenn man den Schutz für eine Seite deaktiviert hat, so wird diese Webseite normal angezeigt. Allerdings erscheint nun in der Adressleiste ein gelbes Warndreieck, womit der Mixed-Content-Status angezeigt wird. Klickt man auf das Warndreieck, so erscheint die Information, dass die Webseite nur "teilweise verschlüsselt und nicht gegen das Abhören geschützt" ist.