Die Entwickler von Googles Chrome-Browsers planen, in mehreren Schritten dafür zu sorgen, dass HTTPS-Internetseiten künftig nur noch HTTPS-Subressourcen laden können, wie das Team im Chromium-Blog schreibt. Sochen sogenannten Mixed Content, also unverschlüsselte HTTP-Subressourcen innerhalb einer ansonsten verschlüsselten HTTPS-Webseite, soll Chrome demnach in seinen kommenden Versionen standardmäßig blockieren.
Die Gründe für das Blockieren von Mixed Content
Nach Googles eigenen Statistiken surfen die Chrome-Nutzer schon heute in 90 Prozent ihrer Arbeitszeit mit dem Browser auf sicheren HTTPS-Webseiten, die derzeit aber immer noch Probleme mit dem Mixed Content hätten.
Zwar werden hier viele derartige Inhalte wie etwa Iframes und Skripte schon blockiert , aber Bilder, Audio- und Videoinhalte sind aktuell immer noch gestattet. Das gefährde aber die Privatsphäre und die Sicherheit der Benutzer.
In ihrem Blog-Eintrag begründen die Entwickler ihre Entscheidung damit, dass durch den Mixed Content nicht nur bestimmte Angriffe ermöglicht werden könnten, sondern die Nutzung von Mixed Content auch zu einer „verwirrenden“ Browser-Erfahrung für die Nutzer führe. Denn schließlich ist die genutzte Seite weder vollständig abgesichert noch komplett unsicher – sie bewegt sich irgendwo dazwischen.
Neuerungen für kommende Versionen
Mit der im Dezember erwarteten Chrome-Version 79 soll der Browser eine neue Funktion bekommen, mit der das Blockieren des Mixed Content aufgehoben werden kann. Das betrifft aktuell blockierte Inhalte wie Iframes oder Skripte.
Mit der daruffolgenden Version 80, die Ende Januar nächsten Jahres erscheinen soll, sollen dann Audio- und Videoinhalte vollautomatisch von HTTP auf HTTPS umgestellt werden. Wenn das nicht klappt, werden die Inhalte blockiert, was allerdings mit der neuen Funktion manuell durch die Nutzer aufgehoben werden kann.
In Version 80 zeigt Chrome den Hinweis „Nicht sicher“ an, wenn Bilder noch als Mixed Content übertragen werden. In Chrome 81 schließlich soll dann das Auto-Upgrade-Verhalten auch für Bilder umgesetzt werden und das Laden von http- Bildern blockieren, sollten diese nicht per HTTPS verfügbar sein.