Mixed Content: Salesforce empfiehlt Nutzern unsichere Browser

Seiten von Salesforce haben Probleme mit Mixed Content, doch statt diese zu beheben, gibt die Firma gefährliche Ratschläge.

Artikel von veröffentlicht am
Salesforce gibt gefährliche Ratschläge, weil die eigenen Services darauf angewiesen sind, unsichere Inhalte auf HTTPS-Webseiten zu laden.
Salesforce gibt gefährliche Ratschläge, weil die eigenen Services darauf angewiesen sind, unsichere Inhalte auf HTTPS-Webseiten zu laden. (Bild: Raysonho/Wikimedia Commons/CC0 1.0)

Das Unternehmen Salesforce gibt den gefährlichen Ratschlag, einen veralteten Chrome-Browser zu verwenden. Der Grund: Offenbar sind einige Webseiten von Salesforce darauf angewiesen, Teile der Inhalte über unsichere HTTP-Verbindungen zu laden - was in der aktuellen Version von Chrome und künftig auch Firefox blockiert wird.

Stellenmarkt
  1. Informatiker / Entwickler (m/w/d) SAP ABAP
    ING Deutschland, Frankfurt, Nürnberg
  2. Systembetreuer (m/w/d) Windows Server / Active Directory
    Radeberger Gruppe KG, Frankfurt am Main, Dortmund
Detailsuche

Das Problem ist sogenannter Mixed Content. Davon spricht man beispielsweise, wenn auf einer Seite, die über eine geschützte HTTPS geladen wird, Bilder oder andere Inhalte über ungeschütztes HTTP eingebunden werden. Daneben gibt es noch einige Spezialfälle von Mixed Content, etwa Formulare auf HTTPS-Webseiten, die Daten an HTTP-Webseiten schicken, oder verlinkte HTTP-Downloads.

Bisher zeigten die Browser bei Mixed Content ein gemischtes Verhalten: Besonders gefährliche Inhalte, etwa Javascript-Dateien, werden in Browsern schon seit vielen Jahren blockiert. Doch passive Inhalte wie Bilder oder Videos konnten weiterhin unsicher nachgeladen werden. Das Sicherheitsrisiko ist dort zwar geringer als bei aktiven Inhalten, ein Problem ist es trotzdem, so kann ein Angreifer etwa Bilder austauschen.

Chrome will Mixed Content loswerden

Die Entwickler von Chrome hatten im vergangenen Jahr angekündigt, Mixed Content weitgehend eliminieren zu wollen. Dafür setzten sie auf eine Doppelstrategie: Wenn eine HTTPS-Webseite versucht, einen Inhalt über HTTP einzubinden, wird zunächst versucht, die entsprechende Datei über HTTPS zu laden. Schlägt dies fehl, wird der entsprechende Inhalt blockiert und nicht angezeigt.

Golem Akademie
  1. Terraform mit AWS
    14./15. September 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. OpenShift Installation & Administration
    9.-11. August 2021, online
Weitere IT-Trainings

Chrome hat dieses Feature vor kurzem standardmäßig aktiviert. Firefox hat eine ähnliche Funktion als optionales Feature, sie soll in Zukunft ebenfalls standardmäßig aktiviert werden.

Mit diesem Verhalten kommt nun offenbar die Webanwendung von Salesforce nicht klar. Darüber informiert Salesforce in einer E-Mail, die Golem.de vorliegt. Salesforce schlägt darin vor, den Chrome-Browser zurzeit nicht zu aktualisieren oder eine ältere Version zu installieren. Alternativ könne man einen anderen Browser verwenden oder das Blockieren von Mixed Content in Chrome deaktivieren. Auf einer Support-Webseite von Salesforce findet man ähnliche Ratschläge.

Insbesondere der Vorschlag, eine veraltete Chrome-Version einzusetzen, ist dabei extrem gefährlich. Der IT-Sicherheitsspezialist Ian Carroll, der auf die Empfehlung von Salesforce aufmerksam gemacht hat, kommentierte dies auf Twitter: "Das ist ein furchtbarer Ratschlag."

Chrome veröffentlicht regelmäßig Sicherheitsupdates, in denen bekannte Sicherheitslücken geschlossen werden. Alleine beim letzten Sicherheitsupdate Anfang November wurden dabei sieben Lücken geschlossen, deren Risiko Google als hoch einschätzt. Zu einer Lücke schreibt Google sogar, dass es Informationen darüber hat, dass diese bereits aktiv von Angreifern ausgenutzt wird.

Unverständlich ist, weshalb Salesforce die Probleme mit Mixed Content bisher nicht behoben hat. Die Pläne von Google sind seit über einem Jahr bekannt. Doch auch davor hätte man wissen können, dass Mixed Content ein potenzielles Problem ist: Warnungen bei unsicher geladenen Bildern werden in Browsern seit vielen Jahren angezeigt.

Salesforce ist ein Anbieter von Cloud-Services, das bislang wichtigste Produkt der Firma ist ein Customer-Relationship-Management-System. Zuletzt erlangte die Firma größere Bekanntheit, weil sie den Chatsystemanbieter Slack für 27 Milliarden Dollar übernommen hatte.

Nachtrag vom 9. Dezember 2020, 13:21 Uhr

Wie Salesforce uns mitgeteilt hat wurde der Artikel auf der Support-Webseite inzwischen überarbeitet. Er enthält die Empfehlung zur Nutzung eines veralteten Browsers nicht mehr.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Wars
Youtuber bekommt für Deep Fakes Job bei Lucasfilm

Mit Deepfakes schafft Shamook überzeugendere Varianten von Star-Wars-Figuren, als es Disney je gelungen ist. Jetzt arbeitet er bei ILM.

Star Wars: Youtuber bekommt für Deep Fakes Job bei Lucasfilm
Artikel
  1. Flight Simulator im Benchmark-Test: Sim Update 5 lässt Performance abheben
    Flight Simulator im Benchmark-Test
    Sim Update 5 lässt Performance abheben

    Die Optimierungen bei Bildrate und Speicherbedarf sind derart immens, dass wir kaum glauben können, noch den Flight Simulator zu spielen.
    Ein Test von Marc Sauter

  2. Sony: Zehn Millionen Exemplare der Playstation 5 verkauft
    Sony
    Zehn Millionen Exemplare der Playstation 5 verkauft

    Trotz Lieferengpässen ist die Playstation 5 vermutlich die am schnellsten verkaufte Konsole. Auch zum Absatz der Xbox Series X/S gibt es neue Zahlen.

  3. Sexismus: Entwickler wollen Inhalte von World of Warcraft ändern
    Sexismus
    Entwickler wollen Inhalte von World of Warcraft ändern

    Es rumort weiter bei Activision Blizzard: Entwickler wollen streiken und WoW überarbeiten. Konzernchef Bobby Kotick meldet sich erstmals.

twothe 09. Dez 2020

Die mit einem einzigen Eintrag auch eben auf HTTPS switchen könnten... wenn sie nicht...

twothe 08. Dez 2020

Das da überhaupt was funktioniert ist ein reines Wunder, jedes Update wieder aufs neue...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Samsung-Monitore Amazon Exclusive günstiger (u. a. G7 32" QLED Curved WQHD 240Hz 559€) • AKRacing Core EX-Wide SE Gaming-Stuhl 229€ • Thrustmaster TCA Officer Pack Airbus Edition 119,99€ • Flight Simulator Xbox Series X 69,99€ [Werbung]
    •  /