4. März 2019

Mixed Content – Gefährlicher Ressourcen-Cocktail innerhalb einer https-Seite

Mixed Content – Gefährlicher Ressourcen-Cocktail innerhalb einer https-Seite
Inhaltsverzeichnis

Bei unserer Arbeit als Suchmaschinenoptimierer analysieren wir regelmäßig Webseiten bevor wir in den Optimierungsprozess starten. Dabei prüfen wir die Seiten auch auf die korrekte Implementierung von https – insbesondere seit Google im Jahr 2014 die Nutzung von SSL Zertifikaten als Rankingfaktor postuliert hat. Doch bei der Https-Integrierung auf Webseiten, kann es es zu einigen Fallstricken kommen, welchen Beachtung geschenkt werden sollte. Einer dieser Fallstricke sind gemischte Inhalte. Ein aus unterschiedlichen Gründen, entstandener Ressourcen-Cocktail auf Internetseiten, welche die Sicherheit einer Internetseite – respektive der User bedrohen.

Was gemischte Inhalte sind, wie diese auf Webseiten identifiziert und beseitigt werden und wie Mixed Content sich auf die Suchmaschinenoptimierung auswirkt, wird in diesem Beitrag beschrieben.

Was ist Mixed Content?

Wie in der Headline des Beitrags schon angedeutet, ist Mixed Content eine Art Ressourcen-Cocktail innerhalb einer Website, welche die sichere Nutzung der Seite beeinträchtigt und im schlimmsten Fall für Man-in-the-Middle-Angriffe ausgenutzt werden kann.

Im Detail meint man mit gemischten Inhalten, dass auf einer Website – obwohl das SSL-Zertifikat und Redirects eingebunden sind – Ressourcen wie CSS, Javascript oder Mediendateien per http abgerufen werden. Der Mixed Content Fehler tritt also auf, wenn unverschlüsselte http-Inhalte auf einer verschlüsselten https-Seite angezeigt werden. In Folge erkennt ein Browser wie Chrome oder Mozilla, trotz SSL, die Internetseite als nicht sicher an und gibt eine Warnung in der Browserzeile an den Nutzer raus.

Nachfolgend zwei Grafiken zum Vergleich hinsichtlich der SSL-Browserinformation:

Die Domain hamburg.de verfügt auf der Unterseite /tickets/ über Mixed Content Fehler. Die Seite wird vom Browser Chrome als nicht uneingeschränkt sicher erkannt und vermeldet eine Warnmeldung in Form des Informationssymbols. (https://www.hamburg.de/tickets/ geprüft am 03.03.2019).
Die Seite https://www.onfiredigital.de wird vom Google Chrome Browser als uneingeschränkt sicher erkannt. Erkennbar an den Schloßsymbol in der Browser-URL-Zeile.

Kategorien von Mixed Content

Man unterscheidet zwei Arten von Mixed Content, welche sich je nach Bedrohungsstufe unterscheiden. Die Unterscheidung wird eingeteilt in aktive und passive Inhalte:

  1. Mixed active Content (aktive Inhalte)
  2. Mixed passiv Content bzw. auch Mixed display Content genannt (passive Inhalte)

Der Mixed Active Content (1.) stellt im Vergleich zum Mixed Display Content die größere Bedrohung für eine Website bzw. für den User dar. Denn hiervon sind direkt Aussehen- und funktionsverändernte Dateien wie Stylesheets (CSS) und Skripte (Javascript) betroffen. Im Worst Case kann die Seite durch Mixed Active Content nicht mehr geladen werden. Daher ist diese Art der gemischten Inhalte bedrohlicher und prioritärer anzusehen als die des Mixed passiv Content und sollte zuerst korrigiert werden.

Beim Mixed passiv Content (2.) sind Mediendateien wie Bilder, Videos und Audiodateien betroffen. Diese beeinträchtigen die Funktion der Webseite in keinster Weise, da sie, trotz SSL Zertifikat der Domain, vom System unverschlüsselt per http geladen werden. Im Vergleich zu Mixed Active Content ist die Gefahr gering, da hier “nur” fehlerhaftem irreführende Inhalte ausgespielt werden.

Mixed Active Content Mixed Passiv Content
Inhaltsart aktive inhalte passive Inhalte
Dateien Stylesheets & Skripte (.css ; .js) Mediendateien wie Bilder, Video, Audio (.jpg; .png; .mp4; etc.)
Auswirkung Können Aussehen und Funktion einer Website beeinträchtigen. Keine Veränderung der Website. Elemente werden einfach per http geladen.
Gefahr hoch niedrig

Neben der Art des Mixed Content, sollte auch noch beachtet werden, ob die Mixed Content Inhalte intern von der eigenen Seite erzeugt werden oder gar durch externe Ressourcen, z.B. bei Nutzung von Affiliate-Werbung. Bei internen, gemischten Inhalten ist die Lösung des Problems meist einfacher. Hingegen bei externen mixed Content durchaus die Bereitstellung der Ressource über die eigene Website kritisch hinterfragt werden sollte.

Gemischte Inhalte in https-Seiten finden

In der Regel treten Mixed Content Fehler nach der Implementierung des SSL Zertifikats auf – also bei der Umstellung von http zu https. Sei es, weil bisher noch kein SSL Zertifikat genutzt wurde oder weil z.B. im Zuge eines Website-Relaunchs, die Seite von einer Entwicklungsumgebung auf eine aktive Domain übertragen wird. Egal wie der Ressourcencocktail entstanden ist, er sollte gefunden und beseitigt werden. Doch wie entdeckt man Mixed Content auf https-Webseiten?

Mixed Content händisch identifizieren:

Bei kleineren Webseiten wie z.B. Unternehmensseiten kann man die Seiten manuell auf Mixed Content Fehler prüfen, in dem man sich jede einzelne Seite einer Website in einem aktuellen Browser anschaut. In der Browserzeile vor der URL sollte dann entweder das Symbol des Vorhängeschloss erscheinen oder ein Informationssymbol. Bei der Ausgabe des Schlosses ist in der Regel alles okay und es kann sich die nächste Seite betrachtet werden.

Sollte jedoch das Informationssymbol erscheinen, bietet sich ein Blick in die Browser-Entwicklerkonsole an, um zu sehen welche Ressourcen als Mixed Content deklariert werden. Hier seht Ihr dann die Anzahl der Fehler/ Warnungen sowie die Dateipfade.

Simulierter Fehler für den Blogbeitrag “Mixed Content” auf einer unsere Domains. Hier ist zu erkennen, dass vier Ressourcen trotz SSL Zertifikat per http angefragt werden. Da es sich “nur” um Bilddateien handelt, spricht man von Mixed Display Content, welche keinen Einfluss auf Funktionalität oder Aussehen der Website haben.

Mixed Content Tools und Checker:

Bei größeren Seiten zum Beispiel in Onlineshops mit mehreren Hundert oder Tausenden Produkten ist eine manuelle Suche meist kaum möglich. Hier bieten sich Tools bzw. URL-Crawler an, welche die Seiten untersuchen.

Screaming Frog

Das vermutlich liebste Tool eines jeden technischen SEOs hilft auch bei der Identifizierung von Mixed Content.
Nach dem Crawlen der Website einfach im Reiter “Reports” auf “Insecure Reports” klicken und schon wird der Bericht zu “unsicheren Inhalten” heruntergeladen. Schauen sie sich anschließend in der Tabelle die Mediendateien an. In den Spalten “Source” und “Destination” können sie nun leicht nachverfolgen, auf welcher Seite der Fehler entsteht und wohin der Mixed Content Fehler verweist.

Screenshot eines Screaming Frog Reports “Insecure Content”.

SSL Checker

Auf der Seite https://www.jitbit.com/sslcheck/ können Sie online Ihre Website nach Mixed Content Problemen durchsuchen lassen. Der Checker crawlt gratis bis zu 200 Seiten einer Website und informiert darüber ob unsichere Inhalte vorhanden sind.

Hamburg.de mit dem SSL Check auf Mixed Content Fehler geprüft. Die Seite besitzt in verschiedenen Unterseiten über unsichere, gemischte Inhalte.

Mixed Content Fehler beheben

Die Faustregel für die Behebung von Mixed Content Fehlern lautet:

http-Ressourcen durch https ersetzen.

Soll heißen, je nach Mixed Content Fehlerart schreibt man die Pfade der entsprechenden kritischen Ressourcen (.css, .png, .svg, etc.) auf https um. Hierbei sollte vor allem die Konfigurationsdatei angepasst werden. Je nach Content Management System ist unter Umständen auch ein Korrigieren in der Datenbank notwendig, z.B. in WordPress. Sollten sie sich nicht an die Datenbank heranwagen, empfiehlt sich für Mixed Content Fehler in WordPress der Einsatz eines Plugins.

Wir empfehlen dafür “Better Search Replace”. Bevor Sie die Datenbank um schreiben – egal ob händisch oder per Plugin – sollte jedoch ein Backup der Datenbank vorgenommen werden. Nach der erfolgreichen Behebung der gemischten Inhalte, kann das Plugin wieder deinstalliert werden.

Bei größeren Seiten wie Online Shops oder News-Seiten kann die Analyse und Behebung von gemischten Inhalten sehr zeitaufwendig sein. Dadurch stellen sie ein ernst zunehmendes Problem dar. Es empfiehlt sich bei großen Seiten – wo oftmals auch mehrer Personen dran arbeiten – der Einsatz eines CSP-Sicherheitskonzept (Content Security Policy). Mehr Infos dazu in den Web-Fundamentals von Google.

Mixed Content und seine Auswirkung im SEO

Gemischte Inhalte in Webseiten werden von Google selbst als klare Stolperfalle identifiziert, wenn es um die Implementierung und den Einsatz von https geht. Da die Verwendung eines SSL-Zertifikats sowie die Nutzung von https-Inhalten auf einer Webseite seit 2014 offizieller Rankingfaktor ist, stellt somit die Beseitigung der Fehler eine wichtige Arbeit in der technischen Suchmaschinenoptimierung dar. Denn ein Nicht-Berücksichtigen der Mixed-Content Fehler kann zu einem Verlust der Rankings der gesamten Website führen. Des Weiteren kann es durch Verwendung von gemischten Inhalten zu einer verzögerten Indexierung der betroffenen Seiten kommen. Im schlimmsten Fall kann gar eine Indexierung verhindert werden (bei Mixed Activ Content).

Außerdem lösen Mixed Content Fehler eine Sicherheitswarnung für den Nutzer in der Browserzeile aus. Dieser Warnhinweis wirkt sich negativ auf die Nutzererfahrung aus. In modernen Browsern wie Firefox, Chrome oder Edge ist diese Warnung deutlich sichtbar. Daher sollte besonders bei Webseiten, welche sensible, persönliche Daten übermitteln (Shops, Foren, Anmeldungen & Registrierungen, etc.) keine SSL-Warnung ausgegeben werden. Dies schafft nur unnötiges Misstrauen gegenüber den Kunden und führt unter Umständen zu einer erhöhten Absprungrate.

Tests von Google zu Mixed Content

Am 14.02.2019 hat SEO Südwest eine Beitrag veröffentlicht, in dem beschrieben wird, dass Google Experimente in Chrome durchführt, bei denen http-Elemente automatisch auf https geupdgradet werden, wenn die betreffende Ressource ein https anbietet. Ziel der Test sei es, zukünftig Mixed Content Fehlern vorzubeugen um das Web noch sicherer zu machen.
Hier gehts zum Beitrag von SEO-Südwest “Mixed Content: Google testet das automatische Upgrade auf HTTPS in Chrome”.

Inhaltsverzeichnis
Autor*in
Autor*in

Weitere, Interessante Beiträge

  • Alle
  • onFire intern
  • SEO
  • Social Media
  • Websites
onFire intern

Zwischen Praktikums-Projekten und Werksjob-Wechsel

Durch die sozialen Medien können mittlerweile mächtige Dynamiken entstehen.
Weiterlesen...