Content Security Policy: block-all-mixed-content

Ich habe gerade die Sicherheitsmaßnahmen des Webservers bzw. Blogs mit Hardenize untersucht – das mache ich regelmäßig, weil immer mal neue Tests ergänzt werden. Unter »WWW -> Content Security Policy« wurde die Prüfung für einen Content Security Policy (CSP) Parameter ergänzt. Es handelt sich um block-all-mixed-content:

The HTTP Content-Security-Policy (CSP) block-all-mixed-content directive prevents loading any assets using HTTP when the page is loaded using HTTPS.

Insbesondere wenn man mit dem Tor-Browser unterwegs ist, wird einem oft folgende Warnung angezeigt:

Diese Verbindung ist nicht sicher

Der Inhaber von XY hat die Website nicht richtig konfiguriert. Tor-Browser hat keine Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.

Wenn man dann genauer hinschaut, liegt das meist daran, weil Webseitenbetreiber Ressourcen (Bilder, JavaScript, etc.) von »unsicheren« HTTP-Quellen nachladen – obwohl die Seite eigentlich im TLS-Kontext läuft.

Ich habe den CSP-Header mal ergänzt.

---

Ähnliche Beiträge

8. April 2015

Konfiguration des Tor-Browser-Bundles – Not my data! Teil3

Erst eine korrekte Konfiguration und Handhabung des Tor-Browsers schützt vor Tracking-Techniken und Werbenetzwerken.

13. November 2017

Das kranke WWW: Stop using Google Web-Services

Google Web-Services verbreiten sich wie ein Krebsgeschwür, dabei gibt es Alternativen.

2. April 2022

HowTo: Internet-Zensur umgehen und anonym bleiben

Gegen Netzsperren: Mit VPN, Psiphon und Tor ist es möglich, die Internet-Zensur zu umgehen. Dank Snowflake kann jeder mithelfen!

27. Juli 2016

AppArmor – Linux härten Teil3

Die Folgen eines Zero-Day-Exploits mit AppArmor verringern.

13. Februar 2013

Internet-Zensur umgehen – Internet-Zensur Teil3

Internet-Zensur umgehen - dazu eignen sich diverse Tools, wie zum Beispiel Tor oder JonDonym. Eine Übersicht verbreiteter Maßnahmen.