Mixed-Content-Blocker in Firefox ärgert viele Nutzer und Web-Anbieter – auch //SEIBERT/MEDIA-Kunden

Seit kurzem ist die Version 23 des Firefox-Browsers von Mozilla verfügbar. Mit diesem Release ist eine neue Funktion ausgeliefert worden, die die Sicherheit des Nutzers erhöhen soll: der Mixed-Content-Blocker. Dieser Blocker ist standardmäßig aktiviert und verursacht auf vielen Websites, die auch //SEIBERT/MEDIA-Kunden betreffen, leider nicht unbeträchtliche Probleme.

Angriffe über unverschlüsselte HTTP-Anfragen verhindern

Der Blocker verhindert auf HTTPS-Websites die Ausführung bestimmter HTTP-Anfragen und blockiert namentlich sogenannten Mixed Active Content. Mixed Active Content kann potenziell das Verhalten einer HTTPS-Website manipulieren: Fängt ein Angreifer HTTP-Anfragen ab, hat er die Möglichkeit, die Antworten zu verändern und so Schad-Code in die verschlüsselte Seite einzuschleusen, um etwa User-Daten auszuspähen oder schädliche Software einzuspielen. Ein Blocker, der dies verhindert, hört sich zunächst nach einem sinnvollen Feature an.

Blocker verweigert auch Ausführung vertrauenswürdiger HTTP-Inhalte

In der Praxis blockiert die Firefox-Funktion allerdings sämtliche Mixed-Active-Inhalte und kann keine Unterscheidungen zwischen "Gut" und "Böse" treffen.

Wird eine Seite aufgerufen, die HTTPS nutzt und externen Mixed Active Content laden will, der aber nur HTTP verwendet – beispielsweise die JS-Bibliothek von Google Maps –, verweigert der Browser das Laden der Inhalte. Dies führt zum Beispiel dazu, dass Google Maps nicht mehr funktioniert oder überhaupt kein CSS geladen wird - so auch bei einigen Websites unserer Kunden. Selbst mit iFrame eingebundene YouTube-Inhalte werden oftmals geblockt.

Der Browser gibt einen entsprechenden Hinweis lediglich in Form eines kleinen, leicht zu übersehenden Schild-Icons in der Adressleiste aus. Möchte er die Seite vollständig angezeigt bekommen, muss der User dieses Symbol anklicken und kann dann den Schutz für diese Page deaktivieren.

Probleme: Keine Whitelist, nicht gemerkte Freigaben, komplizierte Deaktivierung

Etliche Firefox-Nutzer kommentieren das Nutzererlebnis mit wenig Begeisterung, wie diese lange Diskussion im Mozilla-Blog zeigt. Hier sind zwei exemplarische Beispiele:

The intention was good but the application is silly. There are literally tons and tons of websites out there that are unsafe according to mixed content, so what does Firefox do? It automatically blocks this content. Really convenient, then everytime we stumbled upon a new website that is in HTTPS but has a link to a HTTP embedded Youtube video, we have to click the shield button. Sigh.

I am never so harsh, but you literally destroyed our website that serves foreign content in iframes. Mozilla has made this feature without giving any thoughts of the after effects, you ignored iframes, sandboxed iframes, whitelists, and on the top it doesn’t even remember the unblocking for the session.

Reichlich Kritik musste und muss das Firefox-Team also speziell für die ziemlich unausgereifte Implementierung einstecken. Eine Whitelist-Funktion, um bestimmte Websites dauerhaft als vertrauenswürdig zu kennzeichnen, bietet der Firefox-Blocker bislang nicht an. Und zu allem Übel merkt sich Firefox ungeblockte Seiten nach einer Sitzung nicht: Beim nächsten Aufruf ist eine beim letzten Mal freigegebene Page wieder blockiert.

Leider können Nutzer den Blocker auch nicht so ohne weiteres permanent abschalten, indem sie in den Einstellungen zum Beispiel einfach ein Häkchen setzen/entfernen. Vielmehr müssen sie dafür über about:config manuell einen Eingriff in die Firefox-Konfigurationsdatei vornehmen (security.mixed_content.block_active_content als false setzen). Durchschnittsanwender werden quasi "zu ihrem Glück gezwungen".

Mixed-Content-Blocker verbreiten sich

Allerdings wird man sich mit Mixed-Content-Blockern abfinden müssen. In den Internet Explorer ist schon eine solche Funktion integriert. Chrome wird in Kürze nachziehen – hoffentlich in einer besser durchdachten und nutzer- sowie anbieterfreundlicheren Umsetzung.

Auf jeden Fall arbeiten unsere Teams an Lösungsmöglichkeiten für diese Herausforderung, um den Usern unserer Kunden, die aktuell von diesen Problemen betroffen sind, schnell wieder die gewohnt guten Nutzererlebnisse zu bieten!

Weiterführende Infos

Firefox kommt mit aktiviertem Mixed-Content-Blocker
Mozialla-Meldung zum Blocker mit ausführlicher Diskussion
Site Compatibility for Firefox 23


Mehr über die Creative-Commons-Lizenz erfahren

ACHTUNG!
Unsere Blogartikel sind echte Zeitdokumente und werden nicht aktualisiert. Es ist daher möglich, dass die Inhalte veraltet sind und nicht mehr dem neuesten Stand entsprechen. Dafür übernehmen wir keinerlei Gewähr.

Schreibe einen Kommentar