Doorgaan naar hoofdcontent
pdf?stylesheet=default
Blackboard Help

Browserbeveiliging en gemengde inhoud

 In Google Chrome en Mozilla FireFox zijn processen voor het blokkeren van gemengde inhoud geïmplementeerd om computers te beschermen tegen aanvallen die mogelijk worden door onbeveiligde inhoud waarnaar wordt verwezen op beveiligde pagina's.

Beveiliging: gemengde inhoud op pagina's van website

Wat is gemengde inhoud en waarom kan dit een probleem zijn?

Websites die vragen om vertrouwelijke informatie, zoals gebruikersnamen en wachtwoorden, gebruiken vaak veilige (https) verbindingen om inhoud te verzenden naar of van de computer die u gebruikt. Als u een site bezoekt via een veilige verbinding, wordt door zowel Google Chrome als Firefox gecontroleerd of de inhoud op de pagina veilig is verzonden. Als een van deze browsers vaststelt dat bepaalde soorten inhoud op de pagina afkomstig zijn van onveilige (http) kanalen, voorkomt de browser automatisch dat de inhoud wordt geladen en ziet u in de adresbalk het pictogram van een schild.

Door de inhoud te blokkeren en mogelijke veiligheidslekken te dichten, zorgen Chrome en Firefox ervoor dat informatie op de pagina in de verkeerde handen komt.

Soorten gemengde inhoud

Er zijn twee soorten inhoud die invloed hebben op de weergave van een webpagina door een gebruiker. In de context van gemengde inhoud heeft elk soort inhoud verschillende risiconiveaus:

Gemengde passieve inhoud of weergave-inhoud

Gemengde passieve inhoud is HTTP-inhoud op een HTTPS-website waarmee geen wijzigingen kunnen worden aangebracht in het DOM (Document Object Model) van de webpagina.  In iets eenvoudigere bewoordingen wil dit zeggen dat passieve HTTP-inhoud een beperkte invloed heeft op de HTTPS-website.  Een aanvaller kan bijvoorbeeld een afbeelding die wordt aangeboden via HTTP vervangen door een ongepaste afbeelding of een misleidend bericht voor de gebruiker. De aanvaller heeft echter niet de mogelijkheid om de rest van de webpagina te manipuleren, alleen dus het gedeelte van de pagina waar de afbeelding wordt geladen.

Een aanvaller kan informatie afleiden uit de activiteit van een gebruiker in een browser door te kijken welke afbeeldingen worden aangeboden aan de gebruiker en op basis daarvan de bekeken pagina's te reconstrueren. Bovendien kan de aanvaller de HTTP-headers bekijken die worden verstuurd om de afbeelding op te halen en aan te bieden en zo de tekenreeks van de gebruikersagent zien, evenals cookies die eventueel zijn gekoppeld aan het domein waaruit de afbeelding wordt opgevraagd. Als de inhoud wordt aangeboden vanuit het domein waaruit ook de hoofdwebpagina wordt opgehaald, wordt er mogelijk sessie-informatie zichtbaar doordat de bescherming wordt omzeild die HTTPS biedt aan de gebruikersaccount.

Voorbeelden van passieve inhoud zijn afbeeldingen, audio en video.

Gemengde actieve inhoud of scriptinhoud

Actieve inhoud is inhoud die toegang heeft tot alle of bepaalde elementen van het DOM (Document Object Model) van een HTTPS-pagina en deze elementen ook kan manipuleren. Dit type gemengde inhoud kan het gedrag van een HTTPS-pagina aanpassen en in potentie vertrouwelijke gegevens van de gebruiker stelen. Naast de risico's die hierboven zijn beschreven voor gemengde passieve inhoud, wordt gemengde actieve inhoud blootgesteld aan een aantal potentiële aanvalsvectoren.

Voorbeeld: een MITM-aanvaller (Man In The Middle) kan aanvragen voor actieve HTTP-inhoud onderscheppen. De aanvaller kan vervolgens de respons aanpassen en schadelijke JavaScript-code toevoegen. Een schadelijk script kan de referenties van de gebruiker stelen, vertrouwelijke gegevens van de gebruiker verzamelen of proberen malware te installeren op het systeem van de gebruiker (door bijvoorbeeld gebruik te maken van kwetsbare plugins die de gebruiker heeft geïnstalleerd).

Voorbeelden van actieve inhoud zijn JavaScript, CSS, objecten, xhr-verzoeken, iframes en lettertypen.

Voorkomen dat gebruikers speciale besturingselementen voor hun browser nodig hebben

U kunt voorkomen dat gebruikers speciale besturingselementen voor hun browser nodig hebben door alle inhoud, zowel passieve als actieve,aan te bieden via HTTPS.

Browserbeheer van gemengde inhoud per browser...

In de volgende gedeelten wordt beschreven hoe u besturingselementen voor de toegang tot gemengde inhoud beheert voor de browsers Google Chrome en Mozilla Firefox.

Met behulp van de voorbeeldpagina's op https://people.mozilla.org/~tvyas/mixedcontent.html krijgt u te zien wat de impact is van gemengde inhoud op de ervaring van de gebruiker in de browser. Daarnaast wordt duidelijk hoe de instellingen van de browser van invloed zijn op de weergave van pagina's.

Concepten voor het blokkeren van gemengde inhoud zijn vergelijkbaar tussen browsers. Het beheer van de toegang en de informatieniveaus vormen de grootste verschillen tussen browsers die ondersteuning bieden voor het blokkeren van gemengde inhoud.

Ga naar het gedeelte voor uw browser om de details te bekijken.