• IT-Karriere:
  • Services:

Mixed Content: Salesforce empfiehlt Nutzern unsichere Browser

Seiten von Salesforce haben Probleme mit Mixed Content, doch statt diese zu beheben, gibt die Firma gefährliche Ratschläge.

Artikel von veröffentlicht am
Salesforce gibt gefährliche Ratschläge, weil die eigenen Services darauf angewiesen sind, unsichere Inhalte auf HTTPS-Webseiten zu laden.
Salesforce gibt gefährliche Ratschläge, weil die eigenen Services darauf angewiesen sind, unsichere Inhalte auf HTTPS-Webseiten zu laden. (Bild: Raysonho/Wikimedia Commons/CC0 1.0)

Das Unternehmen Salesforce gibt den gefährlichen Ratschlag, einen veralteten Chrome-Browser zu verwenden. Der Grund: Offenbar sind einige Webseiten von Salesforce darauf angewiesen, Teile der Inhalte über unsichere HTTP-Verbindungen zu laden - was in der aktuellen Version von Chrome und künftig auch Firefox blockiert wird.

Stellenmarkt
  1. Deutsche Energie-Agentur GmbH (dena), Berlin
  2. dSPACE GmbH, Paderborn

Das Problem ist sogenannter Mixed Content. Davon spricht man beispielsweise, wenn auf einer Seite, die über eine geschützte HTTPS geladen wird, Bilder oder andere Inhalte über ungeschütztes HTTP eingebunden werden. Daneben gibt es noch einige Spezialfälle von Mixed Content, etwa Formulare auf HTTPS-Webseiten, die Daten an HTTP-Webseiten schicken, oder verlinkte HTTP-Downloads.

Bisher zeigten die Browser bei Mixed Content ein gemischtes Verhalten: Besonders gefährliche Inhalte, etwa Javascript-Dateien, werden in Browsern schon seit vielen Jahren blockiert. Doch passive Inhalte wie Bilder oder Videos konnten weiterhin unsicher nachgeladen werden. Das Sicherheitsrisiko ist dort zwar geringer als bei aktiven Inhalten, ein Problem ist es trotzdem, so kann ein Angreifer etwa Bilder austauschen.

Chrome will Mixed Content loswerden

Die Entwickler von Chrome hatten im vergangenen Jahr angekündigt, Mixed Content weitgehend eliminieren zu wollen. Dafür setzten sie auf eine Doppelstrategie: Wenn eine HTTPS-Webseite versucht, einen Inhalt über HTTP einzubinden, wird zunächst versucht, die entsprechende Datei über HTTPS zu laden. Schlägt dies fehl, wird der entsprechende Inhalt blockiert und nicht angezeigt.

Chrome hat dieses Feature vor kurzem standardmäßig aktiviert. Firefox hat eine ähnliche Funktion als optionales Feature, sie soll in Zukunft ebenfalls standardmäßig aktiviert werden.

Mit diesem Verhalten kommt nun offenbar die Webanwendung von Salesforce nicht klar. Darüber informiert Salesforce in einer E-Mail, die Golem.de vorliegt. Salesforce schlägt darin vor, den Chrome-Browser zurzeit nicht zu aktualisieren oder eine ältere Version zu installieren. Alternativ könne man einen anderen Browser verwenden oder das Blockieren von Mixed Content in Chrome deaktivieren. Auf einer Support-Webseite von Salesforce findet man ähnliche Ratschläge.

Insbesondere der Vorschlag, eine veraltete Chrome-Version einzusetzen, ist dabei extrem gefährlich. Der IT-Sicherheitsspezialist Ian Carroll, der auf die Empfehlung von Salesforce aufmerksam gemacht hat, kommentierte dies auf Twitter: "Das ist ein furchtbarer Ratschlag."

Chrome veröffentlicht regelmäßig Sicherheitsupdates, in denen bekannte Sicherheitslücken geschlossen werden. Alleine beim letzten Sicherheitsupdate Anfang November wurden dabei sieben Lücken geschlossen, deren Risiko Google als hoch einschätzt. Zu einer Lücke schreibt Google sogar, dass es Informationen darüber hat, dass diese bereits aktiv von Angreifern ausgenutzt wird.

Unverständlich ist, weshalb Salesforce die Probleme mit Mixed Content bisher nicht behoben hat. Die Pläne von Google sind seit über einem Jahr bekannt. Doch auch davor hätte man wissen können, dass Mixed Content ein potenzielles Problem ist: Warnungen bei unsicher geladenen Bildern werden in Browsern seit vielen Jahren angezeigt.

Salesforce ist ein Anbieter von Cloud-Services, das bislang wichtigste Produkt der Firma ist ein Customer-Relationship-Management-System. Zuletzt erlangte die Firma größere Bekanntheit, weil sie den Chatsystemanbieter Slack für 27 Milliarden Dollar übernommen hatte.

Nachtrag vom 9. Dezember 2020, 13:21 Uhr

Wie Salesforce uns mitgeteilt hat wurde der Artikel auf der Support-Webseite inzwischen überarbeitet. Er enthält die Empfehlung zur Nutzung eines veralteten Browsers nicht mehr.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 20,49€
  2. 24,99€
  3. (u. a. Anno 2205 Ultimate Edition für 11,99€, Rayman Legends für 4,99€, The Crew 2 - Gold...

twothe 09. Dez 2020

Die mit einem einzigen Eintrag auch eben auf HTTPS switchen könnten... wenn sie nicht...

twothe 08. Dez 2020

Das da überhaupt was funktioniert ist ein reines Wunder, jedes Update wieder aufs neue...


Folgen Sie uns
       


VLC-Gründer Jean-Baptiste Kempf im Interview

Wir haben uns mit dem Präsidenten der VideoLAN-Nonprofit-Organisation unterhalten.

VLC-Gründer Jean-Baptiste Kempf im Interview Video aufrufen
    •  /