F

Sicherheit in Firefox: Mixed Content Blocker und Content Security Policy (CSP)

Seit Version 23 beinhaltet Mozillas Firefox die Sicherheitsfunktionen Mixed Content Blocker und Content Security Policy (CSP). Wir erklären diese.

Mir ist aufgefallen, dass Mozilla einige Security-Verbesserungen in Firefox implementiert hat. Der Browser hat nun einen Mixed Content Blocker (für gemischte Inhalte), um sich gegen sogenannte Man-in-the-Middle-Angriffe zu verteidigen. Weiterhin sind die Mozilla-Entwickler in die Fußstapfen von Google Chrome sowie Microsoft Internet Explorer getreten und haben Firefox Content Security Policy 1.0 integriert. Können Sie erklären, wei sich die Funktionen auf die Sicherheit des Firefox-Browsers auswirken?

Ab Firefox 23 ist Mixed Content Blocker per Standard aktiviert. Diese Funktion bietet zusätzlichen Schutz für Anwender, wenn sie eine Website mit gemischten Inhalten aus HTTPS und HTTP besuchen. Nutzer können die Herkunft von HTTPS-Inhalten sehr schnell verifizieren. HTTP- Quellen sind allerdings nicht zwingend vertrauenswürdig. Ein schlechtes Website-Design führt schnell zu gemischten Seiten. Diese lassen sich wiederum von böswilligen Hackern untergraben und für sogenannte Man-in-the-Middle-Angriffe ausnutzen.

Um diese Bedrohung abzuschwächen, verhindert Mixed Content Blocker verschiedene Quellen am Auftauchen in einer HTTPS-Seite. Voraussetzung ist, dass diese über das unsichere HTTP-Protokoll geladen werden. Inhalte, die Zugriff auf das Document Object Model (DOM) haben und dieses beeinflussen können, wie zum Beispiel Scripte oder Mixed Active Content, werden per Standard blockiert. Der Grund ist, dass sich möglicherweise sensible Daten von Anwender stehlen lassen. Mixed Passive Content wie zum Beispiel Bilder, Audio und Video sind weit weniger gefährlich. Sie lassen sich daher laden.

Mixed Content Blocker ist ein per Standard aktiviertes Security-Feature in Firefox. Dennoch gilt das Gleiche wie bei jedem Security-Kontroll-Mechanismus. Nehmen Sie sich Zeit zu ergründen, warum dies wichtig ist und wie er Anwender schützt.

Content Security Policy (CSP) ermöglicht es Web-Administratoren, einem Browser einen HTTP-Antwort-Header (Response) zu senden. In diesem ist hinterlegt, von welchen Orten zusätzlicher (HTML-) Inhalt geladen werden darf. Das ist ein Mechanismus, um Anwender vor XSS- (Cross-Site-Scripting) und anderen Data-Injection-Angriffen zu schützen. Browser gehen davon aus, dass alle Inhalte einer Webseite ein legitimer Teil dieser Seite sind. Durch XSS wird eine Seite dazu missbraucht, bösartigen Code zusammen mit den eigentlichen und als vertrauenswürdig eingestuften Inhalten auszuliefern. Cyberkriminelle nutzen dieses Vertrauen gezielt aus.

Deswegen setzt man auf White-Listen von Domänen mithilfe eines CSP-Headers und Vorgaben, woher solche Scripte kommen dürfen. Administratoren vermeiden damit ein Ausführen oder Einspeisen beliebigen Codes, die an anderer Stelle gehostet sind. Per Standard verhindert Whitelisting das Ausführen sogenannter Inline-Scripte und -Styles.

Einige Angriffe verwenden CSS- (Cascading Style Sheet) Selector-Elemente, um Daten aus der Seite auszuschleusen. Sie benutzen außerdem Attribute zum Überlagern eines Elements. Diese Methode wird gerne bei Phishing-Angriffen eingesetzt. Script-Quellen stellen ganz offensichtlich Security-Risiken dar. Deswegen stellt CSP Richtlinien für andere Ressourcen zur Verfügung. Dazu gehören Schriftarten (Fonts), Frame-Inhalte, Bilder, Video, Audio, Flash sowie andere Plug-Ins und Stylesheets. Standardmäßig sind diese Policies offen und erlauben das Laden von Quellen von nahezu überall. Deswegen wartet an dieser Stelle einige Arbeit auf Administratoren und Entwickler bei der Implementierung von CSP. Ein Beispiel sind nicht erlaubte Funktionen, die JavaScript-Code aus Strings parsen können, wie etwa eval(). Da sich CSP zu einem Standard entwickelt hat, sollten Sie es implementieren.

Mozilla hatte Firefox 4.0 im Jahre 2011 eine CSP-Implementierung spendiert. Allerdings ist CSP 1.0 der offizielle Standard nach der Spezifikation des W3C (World Wide Web Consortium). Auch Google Chrome und Internet Explorer 10 unterstützen ihn. Somit müssen Sie nicht mehr länger mehrere CSP-Header mit verschiedener Syntax an unterschiedliche Browser senden. Haben Entwickler die erste Implementierung für Firefox  verwendet, sollten sie den Mozilla Security-Blog besuchen. Dort finden sie Informationen über die Änderungen. Ebenso werden Details aufgezählt, was Sie tun müssen, damit existierende Implementierungen nach der Übergangszeit funktionieren.

Artikel wurde zuletzt im November 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Websicherheit: Tools und Best Practice

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close