Google hat angekündigt, dass der Chrome-Browser zukünftig Mixed Content blockieren wird. Ressourcen auf HTTPS-Seiten, die nur über HTTP verfügbar sind, werden dann nicht mehr geladen.
Unter Mixed Content versteht man Ressourcen auf einer ansonsten per HTTPS übertragenen Seite, die per HTTP, also unvesrchlüsselt, geladen werden. Schon heute führt das in aktuellen Browsern zu einer Sicherheitsmeldung.
Google geht nun einen Schritt weiter und kündigt an, in Chrome ab Version 79 schrittweise Mixed Content standardmäßig zu blockieren. Damit sollen laut Google die Privatsphäre der Nutzer und die Sicherheit im Web geschützt werden.
Um die Auswirkungen so gering wie möglich zu halten, werden entsprechende Ressourcen automatisch auf HTTPS umgestellt, sofern sie auf diese Weise verfügbar sind. Die Nutzer haben außerdem die Möglichkeit, das Blockieren der Ressourcen für ausgewählte Websites zu deaktivieren.
Die Änderungen werden in mehreren Schritten ausgerollt:
Chrome 79, das ab Dezember in einer stabilen Version verfügbar sein wird, enthält eine Funktion, um Mixed Contend für ausgewählte Websites freizugeben. Diese Einstellung ist anwendbar auf Skripte, Iframes und andere Arten von Inhalten, die Chrome standardmäßig blockiert. Die Option lässt sich durch Klicken auf das Schloss-Symbol auf jeder HTTPS-Seite und eine entsprechende Anpassung in den Einstellungen aktivieren. Dieses Icon wird das bisherige Schild-Icon auf der rechten Seite der Omnibox ersetzen.
Chrome 80 wird unsichere Bilder laden können. Allerdings werden sie einen Sicherheitshinweis in der Omnibox hervorrufen. Entwickler und Website-Betreiber können den Sicherheitshinweis verhindern, indem sie Upgrade-Insecure-Requests im Header setzen oder der Block-all-mixed-Comntent-Direktive folgen.
In Chrome 81 werden unsichere Bilder automatisch auf HTTPS umgestellt oder blockiert, wenn sie nicht per HTTPS verfügbar sind. Chrome 81 wird im Februar 2020 erscheinen.
Website-Betreiber sollten also bereits jetzt darauf achten, dass alle auf ihren Seiten genutzten Ressourcen auch per HTTPS verfügbar sind.