Nicht nur der Internet Explorer, auch andere Browser warnen die Nutzer immer häufiger vor „unsicheren Inhalten“ einer Webseite. Als Nutzer merkt man dies sofort, denn zahlreiche Komponenten und Module der Seite werden blockiert und erscheinen gar nicht.

Der Grund für die Fehlermeldung liegt in einer Sicherheitsfunktion, die inzwischen Standard in den Browsern ist: Wenn der Nutzer über eine SSL-verschlüsselte Verbindung (https), auf die Seite zugreift, und diese Webseite dann unverschlüsselte Elemente nachlädt, blocken die Browser den Zugriff auf diese Ressourcen. Hintergrund hierfür ist, dass diese Methode nicht nur von legitimen Seitenbetreibern, sondern auch von Kriminellen genutzt wird, um bösartige Inhalte in Seiten zu injizieren oder eine Man-in-the-Middle-Attacke zu reiten. Wie das in der Praxis aussieht, zeigt unser Testdrive zum MixedContent.

Die Warnmeldung erscheint in den meisten Fällen, da die Webseiten zwar eine verschlüsselte Ansicht anbieten, einzelne Elemente, etwa CSS-Anweisungen oder JavaScript-Inhalte, von einer unverschlüsselten Domäne nachladen. Beim Internet Explorer beschrieb diese Warnung deswegen auch lange „Mixed Content“, also gemischte Inhalte aus verschlüsselten und unverschlüsselten Quellen.

Den Grund der Fehlermeldung können IE-Nutzer herausfinden, indem sie die Entwicklertools aufrufen (am schnellsten geht das mit einem Druck auf F12) und in die Konsole wechseln. Anschließend muss die Seite aber nochmal aktualisiert werden, damit die Daten angezeigt werden - die Entwicklertools zeigen dann an, welche Links und Inhalte von einer unverschlüsselten Quelle kommen (siehe Bild). Sind diese Links nicht bösartig, kann man den kompletten Inhalt normalerweise anzeigen lassen. Der Internet Explorer zeigt dazu eine separate Schaltfläche an, ein Klick auf „gesamten Inhalt anzeigen“ blendet die unverschlüsselten Elemente ein. 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.