Mixed Content: Salesforce empfiehlt Nutzern unsichere Browser

Seiten von Salesforce haben Probleme mit Mixed Content, doch statt diese zu beheben, gibt die Firma gefährliche Ratschläge.

Artikel von veröffentlicht am
Salesforce gibt gefährliche Ratschläge, weil die eigenen Services darauf angewiesen sind, unsichere Inhalte auf HTTPS-Webseiten zu laden.
Salesforce gibt gefährliche Ratschläge, weil die eigenen Services darauf angewiesen sind, unsichere Inhalte auf HTTPS-Webseiten zu laden. (Bild: Raysonho/Wikimedia Commons/CC0 1.0)

Das Unternehmen Salesforce gibt den gefährlichen Ratschlag, einen veralteten Chrome-Browser zu verwenden. Der Grund: Offenbar sind einige Webseiten von Salesforce darauf angewiesen, Teile der Inhalte über unsichere HTTP-Verbindungen zu laden - was in der aktuellen Version von Chrome und künftig auch Firefox blockiert wird.

Stellenmarkt
  1. Prozessmanager (m/w/d) IT
    Göbber GmbH, Eystrup
  2. IT-Security Architect (m/w/d)
    NOVENTI Health SE, Bietigheim-Bissingen, Gefrees, Mannheim, München, Oberhausen
Detailsuche

Das Problem ist sogenannter Mixed Content. Davon spricht man beispielsweise, wenn auf einer Seite, die über eine geschützte HTTPS geladen wird, Bilder oder andere Inhalte über ungeschütztes HTTP eingebunden werden. Daneben gibt es noch einige Spezialfälle von Mixed Content, etwa Formulare auf HTTPS-Webseiten, die Daten an HTTP-Webseiten schicken, oder verlinkte HTTP-Downloads.

Bisher zeigten die Browser bei Mixed Content ein gemischtes Verhalten: Besonders gefährliche Inhalte, etwa Javascript-Dateien, werden in Browsern schon seit vielen Jahren blockiert. Doch passive Inhalte wie Bilder oder Videos konnten weiterhin unsicher nachgeladen werden. Das Sicherheitsrisiko ist dort zwar geringer als bei aktiven Inhalten, ein Problem ist es trotzdem, so kann ein Angreifer etwa Bilder austauschen.

Chrome will Mixed Content loswerden

Die Entwickler von Chrome hatten im vergangenen Jahr angekündigt, Mixed Content weitgehend eliminieren zu wollen. Dafür setzten sie auf eine Doppelstrategie: Wenn eine HTTPS-Webseite versucht, einen Inhalt über HTTP einzubinden, wird zunächst versucht, die entsprechende Datei über HTTPS zu laden. Schlägt dies fehl, wird der entsprechende Inhalt blockiert und nicht angezeigt.

Golem Akademie
  1. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    24.–25. November 2021, virtuell
  2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    15.–17. November 2021, Virtuell
Weitere IT-Trainings

Chrome hat dieses Feature vor kurzem standardmäßig aktiviert. Firefox hat eine ähnliche Funktion als optionales Feature, sie soll in Zukunft ebenfalls standardmäßig aktiviert werden.

Mit diesem Verhalten kommt nun offenbar die Webanwendung von Salesforce nicht klar. Darüber informiert Salesforce in einer E-Mail, die Golem.de vorliegt. Salesforce schlägt darin vor, den Chrome-Browser zurzeit nicht zu aktualisieren oder eine ältere Version zu installieren. Alternativ könne man einen anderen Browser verwenden oder das Blockieren von Mixed Content in Chrome deaktivieren. Auf einer Support-Webseite von Salesforce findet man ähnliche Ratschläge.

Insbesondere der Vorschlag, eine veraltete Chrome-Version einzusetzen, ist dabei extrem gefährlich. Der IT-Sicherheitsspezialist Ian Carroll, der auf die Empfehlung von Salesforce aufmerksam gemacht hat, kommentierte dies auf Twitter: "Das ist ein furchtbarer Ratschlag."

Chrome veröffentlicht regelmäßig Sicherheitsupdates, in denen bekannte Sicherheitslücken geschlossen werden. Alleine beim letzten Sicherheitsupdate Anfang November wurden dabei sieben Lücken geschlossen, deren Risiko Google als hoch einschätzt. Zu einer Lücke schreibt Google sogar, dass es Informationen darüber hat, dass diese bereits aktiv von Angreifern ausgenutzt wird.

Unverständlich ist, weshalb Salesforce die Probleme mit Mixed Content bisher nicht behoben hat. Die Pläne von Google sind seit über einem Jahr bekannt. Doch auch davor hätte man wissen können, dass Mixed Content ein potenzielles Problem ist: Warnungen bei unsicher geladenen Bildern werden in Browsern seit vielen Jahren angezeigt.

Salesforce ist ein Anbieter von Cloud-Services, das bislang wichtigste Produkt der Firma ist ein Customer-Relationship-Management-System. Zuletzt erlangte die Firma größere Bekanntheit, weil sie den Chatsystemanbieter Slack für 27 Milliarden Dollar übernommen hatte.

Nachtrag vom 9. Dezember 2020, 13:21 Uhr

Wie Salesforce uns mitgeteilt hat wurde der Artikel auf der Support-Webseite inzwischen überarbeitet. Er enthält die Empfehlung zur Nutzung eines veralteten Browsers nicht mehr.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Alder Lake
Intel will mit 241 Watt an die Spitze

Kurz vor dem Launch zeigt Intel eigene Benchmarks zu Alder Lake, außerdem gibt es Details zur Kühlung und zum Denuvo-DRM.
Ein Bericht von Marc Sauter

Alder Lake: Intel will mit 241 Watt an die Spitze
Artikel
  1. Rakuten: Wir bauen 4. deutsches Netz mit x86-Standard-Hardware
    Rakuten
    "Wir bauen 4. deutsches Netz mit x86-Standard-Hardware"

    Billige Hardware soll 1&1 United Internet Kosten sparen. Doch in Japan explodieren bei Rakuten die Ausgaben.

  2. Impfnachweise: Covid-Zertifikat für Adolf Hitler aufgetaucht
    Impfnachweise
    Covid-Zertifikat für Adolf Hitler aufgetaucht

    Im Internet sind gefälschte, aber korrekt signierte QR-Codes mit Covid-Impfnachweisen aufgetaucht.

  3. Windows XP: Das Drehbuch für Dune wurde mit MS-DOS-Programm geschrieben
    Windows XP
    Das Drehbuch für Dune wurde mit MS-DOS-Programm geschrieben

    Eric Roth verwendet seit Jahren den Movie Master für MS-DOS. Auch Dune schrieb er mit dem 30 Jahre alten Editor - und einer IBM Model M.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 4K-Monitore & TVs günstiger (u. a. 50" QLED 2021 749€) • Seagate Exos 18TB 319€ • Alternate-Deals (u. a. Asus B550-Plus Mainboard 118€) • Neues Xiaomi 11T 256GB 549,90€ • Ergotron LX Desk Mount Monitorhalterung 124,90€ • Speicherprodukte von Sandisk & WD [Werbung]
    •  /