Mit Firefox 18 ist es endlich möglich unsichere Inhalte in HTTPS Webseiten zu blocken. Warum das nötig ist? Ganz einfach: Wenn eine HTTPS Webseite geladen wird, hierbei aber über HTTP zum Beispiel CSS oder Javascript Dateien mit geladen werden, ist es möglich über diese Schadcode in die Webseite einzuschleusen. Kurz gesagt, es zerstört vollständig das Prinzip hinter HTTPS bzw. geht sogar noch ein Stück weiter da es den User in vermeintlicher Sicherheit wiegt.
Aus mir nicht ganz erklärlichen Gründen schält Mozilla diese Funktion allerdings nicht standardmäßig ab Werk frei, sondern überlässt es dem User diese von Hand zu aktivieren. Und das geht so:
- Zuerst öffnen wir Firefox und geben in die normale URL Leiste „about:config“ ein.
- Hier bestätigen wir die Sicherheitswarnung mit „Ich werde vorsichtig sein, versprochen!“
- Nun suchen wir nach „mixed“
- Hier gibt es nun mehrere Einträge, unter anderem folgende:
- security.mixed_content.block_active_content
- security.mixed_content.block_display_content
- Diese müssen beide auf true gesetzt werden. Hierfür reicht ein Doppelklick darauf aus. Danach sollte der jeweilige Eintrag fett hinterlegt sein.
Und das wars auch schon. Nun wird aller HTTP Content in HTTPS Webseiten geblockt. Zum Testen hat Microsoft hier eine Test-Webseite bereitgestellt.
Update: Das umstellen scheint Probleme mit der Google Bilder Suche zu machen. Nach der Aktivierung kann man standardmäßig die ersten X Bilder nicht erkennen.