Auch Firefox bald nur noch mit SSL nach dem Alles-oder-Nichts-Prinzip
Kommentare

Um sichere Verbindungen konsequenter zu etablieren, wird Firefox ab Version 23 seine Default-Einstellungen anpassen: security.mixed_content.block_active_content wird dann auf „true“ stehen, und externe

Um sichere Verbindungen konsequenter zu etablieren, wird Firefox ab Version 23 seine Default-Einstellungen anpassen: security.mixed_content.block_active_content wird dann auf „true“ stehen, und externe Inhalte in SSL-Seiten blockieren, wenn die Ressourcen von Nicht-SSL-Websites stammen. Darunter zählen Scripte (JS, CSS), Plugin-Inhalte, Frames, Schriftarten oder WebSockets. Sind diese unverschlüsselt implementiert, werden sie künftig mit einer Fehlermeldung abgewiesen.

Wer das schon heute testen möchte, kann die Option einfach in Firefox 18 oder jünger aktivieren. Dazu genügt ein Besuch der Konfigurationsdatenbank about:config, in der Ihr via Doppelklick auf security.mixed_content.block_active_content den restriktiven Modus aktivieren könnt. Anschließend findet Ihr heraus, welche Inhalte für Eure Firefox-Gäste künftig unsichtbar bleiben.

Schon jetzt witzeln diverse Entwickler darüber, mit welchen Workarounds Web-Entwickler wohl die kommende Hürde umschiffen werden. Ob die Zahl der SSL-Seiten bald stark zurückgeht, oder Links zu Scripts von „http://some.site.tld/useless/script.js“ in „//some.site.tld/useless/script.js“ geändert werden… Beides ist keine Good Practice im Gegensatz zum einheitlichen und unverfänglichen https://-Link, dient er doch nicht nur der Verschlüsselung übertragener Daten, sondern auch der Bestätigung, dass sich hinter Bank-X.de auch wirklich Bank-X befindet. Und im Gegensatz zur scheinbar praktischen „//“-Variante müssen Ressourcen über die reine SSL-Methode nur ein einziges Mal übertragen werden.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -