Gemischte Inhalte beim Herunterladen von HTTPS: So finden und überwinden Sie

Die Notwendigkeit, auf HTTPS umzuschalten, ist ein gestauter Datensatz. Die meisten kommerziellen Websites und lesbaren Blogs laufen seit langem auf einem sicheren Protokoll. Es scheint, dass sie gekreuzt und vergessen haben. Aber nein - Google ist in Alarmbereitschaft. Einmal ermutigte er Webmaster, zu HTTPS zu wechseln, was es zu einem Ranking-Faktor machte. Und jetzt startete er die "negative Verstärkung" - er begann eine totale Blockierung der über HTTP geladenen Ressourcen. Und - eine Überraschung - er mag möglicherweise nicht Ihr exzellentes HTTPS, weil die Site gemischten Inhalt hat.

Wir verstehen, warum Google ihn nicht mag, wie man ihn findet und es so macht, dass alles in Ordnung ist.

Wie Google zum Aufrufen von HTTPS motiviert: Vom Lebkuchen bis zur Peitsche

Der Kampf von Google, Datenübertragungen mit HTTPS zu sichern, hat vor langer Zeit begonnen:

• 2010 - Start der verschlüsselten Google-Suche;
• 2011 - HTTPS wird standardmäßig zum Durchsuchen von Google und Google Mail verwendet.
• 2014 - das Laden einer Site über HTTPS wurde zum Ranking-Signal ;
• 2015 - Googlebot indiziert standardmäßig HTTPS-Versionen von Seiten.
• 2017 - In Chrome 62 wurde beim Eingeben von Daten auf Websites mit HTTP eine Benachrichtigung über eine unsichere Verbindung („Nicht sicher“) in der Adressleiste des Browsers angezeigt.

• 2018 - In Chrome 68 wurden alle Websites auf HTTP in der Adressleiste als unsicher markiert .

• 2019 - Google hat angekündigt , systematisch zu verschieben, um sicherzustellen, dass nur HTTPS-Ressourcen auf HTTPS-Seiten geladen werden. Infolgedessen beginnt Chrome, gemischte Inhalte zu blockieren .

Die Sperrung wird schrittweise durchgeführt:

• Dezember 2019 - Chrome 79 entsperrt Ihre blockierten Inhalte. Mit dieser Option können Sie Skripts, Frames und andere Arten von Inhalten entsperren, die Chrome standardmäßig blockiert. Diese Option sieht folgendermaßen aus:

• Januar 2020 - In Chrome 80 werden Audio- und Videoinhalte automatisch von HTTPS heruntergeladen. Wenn der Download über HTTPS nicht erfolgreich ist, blockiert Chrome solche Ressourcen. Bei Bedarf können Benutzer sie manuell entsperren. In Chrome 80 werden Bilder, die über HTTP auf HTTPS-Sites hochgeladen werden, nicht blockiert. Es wird jedoch die Meldung angezeigt, dass die Verbindung unsicher ist.

• Februar 2020 - Chrome 81 lädt automatisch Bilder von HTTPS herunter. Wenn sie nicht erreichbar sind, blockiert der Browser sie.

Blockierung gemischter Inhalte wird nicht nur in Chrome verwendet. Beispielsweise blockiert aktiver Inhalt Firefox (ab Version 23), Internet Explorer (ab Version 9) und andere Browser. Die Sperrung von Bildern, Audio- und Videoinhalten begann jedoch genau in Google.

Infolge der Förderung des Übergangs zu einem sicheren Protokoll ist der Anteil der Sites, die HTTPS verwenden, im vergangenen Jahr von 43,5% auf 56,5% gestiegen .

Und 85% der von Nutzern aus Russland in Chrome geladenen Seiten übertragen Daten über HTTPS. Im Jahr 2015 betrug dieser Indikator nur 28%.

Wenn man bedenkt, dass in Russland etwa 41% der Nutzer den Chrome-Browser verwenden, lohnt es sich, sich darauf vorzubereiten, gemischte Inhalte zu blockieren, um den Datenverkehr und die Position im Unternehmen nicht zu verlieren.

SEO-Modul im Promopult-System: Alle Tools zur Verbesserung der Qualität der Website und der Suchmaschinenwerbung. Volle Arbeit - bei uns verpassen Sie keine Kleinigkeit. Checklisten, Tipps, transparentes Reporting und professionelle Empfehlungen. Garantien, Ratenzahlung.

Lass es uns der Reihe nach sortieren.

Was ist gemischter Inhalt und warum sollte es nicht auf der Website sein

Gemischter Inhalt (im Original - „gemischter Inhalt“) ist, wenn eine Seite über eine sichere HTTPS-Verbindung geladen wird, einzelne Ressourcen (Bilder, Stile, Skripte usw.) jedoch über ungeschütztes HTTP gesendet werden.

Sie haben beispielsweise zu HTTPS gewechselt (noch nicht? Hier ist die Anweisung ). Auf einer der Seiten wird das Bild jedoch immer noch aus einer externen Bibliothek geladen , die unter der Adresse des Site- Typs site.ru verfügbar ist. Dies ist ein gemischter Inhalt.

Gemäß der W3C-Spezifikation werden gemischte Inhalte in zwei Typen unterteilt:

• optional abschließbar (dazu gehören Bilder, Video, Audio);
• abschließbar (andere Inhalte - Skripte, Stile, Frames, Flash usw.).

Gesperrter Inhalt ist aktiv. Angreifer können aktive Inhalte abfangen und ändern, sodass sie die vollständige Kontrolle über die Seite oder sogar die gesamte Website erlangen. Der Diebstahl von Passwörtern und persönlichen Benutzerdaten, Cookies, die Weiterleitung von Benutzern auf eine andere Website und das Ändern von sichtbarem Inhalt sind nur einige Beispiele für die Bedrohungen, die das Herunterladen von aktivem Inhalt über HTTP mit sich bringt.

Aufgrund des hohen Schadens- und Risikopotenzials für Benutzer wird Browsern empfohlen, solche gemischten Inhalte zu blockieren.

Hier sind einige Arten von HTTP-Anforderungen, die als aktiver Inhalt gelten:

• <script> (src attribute);
• <link> (href attribute) (einschließlich Links in CSS);
• <iframe> (src-Attribut);
• XMLHttpRequest-Anforderungen
• fetch () Anfragen
• Verwendung von Links in CSS (Schriftart, Cursor, Hintergrundbild);
• <Objekt> (Datenattribut).

Der optional gesperrte Inhalt ist passiv. Wenn die Angreifer es abfangen, können sie die Website nicht stören oder beispielsweise die Zahlungsdaten der Benutzer übernehmen.

Aber die Gefahr bleibt bestehen. Beispielsweise können Angreifer Bilder oder Videos abfangen und durch andere ersetzen. Dies kann zu ernsthaften Reputationsschäden führen (die Geschichten über das Erscheinen von Videos oder Bildern mit pornografischem Inhalt auf den Websites von Bundeskanälen oder staatlichen Institutionen sind frisch im Gedächtnis). Darüber hinaus können Angreifer verfolgen, welche Seiten Benutzer angesehen haben, an welchen Produkten sie interessiert waren und welche Inhalte sie angesehen haben.

Hier sind die Arten von HTTP-Anforderungen, die als passiver Inhalt gelten:

• <img> (Quellattribut);
• <audio> (Quellattribut);
• <video> (Attribut src).

Wenn Sie nicht möchten, dass die Ressourcen auf Ihrer Website blockiert werden, überprüfen Sie sie, suchen Sie nach gemischten Inhalten und machen Sie sie über HTTPS zugänglich.

So erkennen Sie gemischte Inhalte auf einer Website

Es gibt verschiedene Möglichkeiten, um herauszufinden, dass Ihre Website gemischte Inhalte enthält.

Über das Symbol in der Adressleiste des Browsers

Dies ist der offensichtlichste Weg. Zum Beispiel öffnen wir eine sichere Seite mit einem Bild, das über HTTP hochgeladen wird. Der Quellcode für diese Seite ist:

Im Chrome-Browser wird ein Symbol angezeigt. Wenn Sie darauf klicken, erhalten Sie eine Erklärung:

Mozilla Firefox hat eine ähnliche Geschichte:

Die Nachteile der Methode:

• Es ist nicht klar, welche Ressourcen über HTTP geladen werden.
• Sie müssen jede Seite manuell überprüfen.

Daher ist es eher ein Indikator als eine umfassende Möglichkeit, nach gemischten Inhalten zu suchen.

Durchsuchen der Seitenquelle

Öffnen Sie den Quell-HTML-Code der Seite im Browser (Strg + U) und suchen Sie das Fragment "http:" (Strg + F).

In diesem Fall wissen wir genau, welche Ressourcen über HTTP geladen werden. Wenn die Site jedoch viele Seiten enthält, funktioniert diese Methode nicht.

Benachrichtigungen in der Entwicklerkonsole

Öffnen Sie die Seite, die Sie in Chrome einchecken möchten, und drücken Sie Strg + Umschalt + I. Die Seite enthält gemischten Inhalt. Dies wird durch die Fehler "Gemischter Inhalt" mit einer detaillierten Beschreibung belegt.

Ebenso können wir in Firefox nach Fehlern suchen:

Der Vorteil dieser Methode besteht darin, dass alle Fehler beim Laden gemischter Inhalte auf der Seite sofort in der Konsole erfasst werden. Der Nachteil ist wiederum, dass Sie jede Seite manuell überprüfen müssen.

SSL-Checker von JitBit

JitBit ist eine schnelle Möglichkeit, Seiten auf einer Website mit gemischtem Inhalt zu identifizieren. Wir geben die Domain an - wir erhalten die Liste der "Problem" -URLs.

Der Nachteil ist, dass nicht klar ist, welche Art von gemischtem Inhalt sich auf den Seiten befindet. Dann müssen Sie alles manuell überprüfen. Darüber hinaus ist der Dienst nicht für Websites mit mehr als 300-400 Seiten geeignet.

Lighthouse Mixed Content-Bericht

Mit dieser Methode können Sie Daten sofort über eine Reihe von URLs abrufen. Sie müssen nicht jede URL manuell überprüfen, und es wird eine vollständige Liste der Ressourcen angezeigt, die über HTTP geladen werden.

Standardmäßig verfügt die Lighthouse-Erweiterung jedoch nicht über einen gemischten Inhaltsbericht. Es muss über die Befehlszeile ausgeführt werden. Wie kann man das machen:

1. Installieren Sie den Google Canary Developer Browser.

2. Installieren Sie Node.js.

3. Führen Sie die Eingabeaufforderung Node.js. aus

4. Führen Sie den Befehl aus:

npm install -g lighthouse 

Die Installation von Lighthouse beginnt.

Nach erfolgreicher Installation erhalten Sie folgende Benachrichtigung:

5. Führen Sie den Bericht mit dem Befehl aus (ersetzen Sie die URL durch die Adresse der Seite im Format site.ru ):

 lighthouse --preset="mixed-content" URL 

Die Berichtserstellung wird gestartet.

Nach Abschluss des Vorgangs werden Sie vom System darüber informiert, in welchem ​​Ordner der Bericht gespeichert ist.

Standardmäßig werden Berichte im HTML-Format gespeichert.

Sie können das Ausgabeformat mit dem Befehl --output ändern. Um Hilfe zu diesen und anderen Befehlen zu erhalten, geben Sie Folgendes in die Konsole ein:

 lighthouse --help 

Der Bericht enthält zwei Prüfungen:

1. Verwendung von HTTPS
2. Sicheres Laden von Ressourcen.

Bei Problemen wird angezeigt, welche Ressourcen über HTTP geladen werden.

Lighthouse Mixed-Content-Bericht für mehrere URLs gleichzeitig

So überprüfen Sie mehrere URLs:

1. Erstellen Sie eine TXT-Datei und fügen Sie eine Liste der zu überprüfenden URLs ein.

2. Erstellen Sie eine BAT-Datei und fügen Sie den folgenden Code ein (in Anführungszeichen den Pfad zu Ihrer TXT-Datei und ihren Namen):

 @For /F "UseBackQ Delims=" %%A In ("C:\Users\light\urls.txt") Do @LightHouse "%%A" --preset="mixed-content" 

3. Führen Sie die BAT-Datei über die Befehlszeile aus. Wenn die Datei im selben Ordner wie die Berichte gespeichert ist, geben Sie einfach den Dateinamen ein und drücken Sie die Eingabetaste. Andernfalls müssen Sie start schreiben und die Adresse der BAT-Datei mit einem Leerzeichen angeben.

Wie lange Sie warten müssen, hängt von der Anzahl der URLs in der Textdatei ab. Für jede URL erhalten Sie einen separaten Bericht.

Vielen Dank an Christopher Giezendanner für diese Methode.

Mixed Content Report in Schreiender Frosch SEO Spider

Dies ist wahrscheinlich der bequemste Weg. Aber im Gegensatz zu den vorherigen wird es bezahlt. Die Kosten für das Screaming Frog SEO Spider- Programm betragen £ 149 pro Jahr.

Führen Sie zum Abrufen der Daten den Bericht "Unsicherer Inhalt" aus, und Sie erhalten eine Liste der Ressourcen mit HTTP.

Lesen Sie im PromoPult-Blog, wie Sie mit Screaming Frog fast alle Daten von jeder Website analysieren können.

So entfernen Sie gemischte Inhalte

Sie haben also gemischte Inhalte auf Ihrer Website gefunden. Etwa die Hälfte der Arbeit ist erledigt. Aber Sie müssen es noch beseitigen. Es gibt keine einheitliche Lösung - Sie müssen der Situation entsprechend handeln.

Links von HTTP können zu internen und externen Ressourcen führen.

Nach dem Wechsel zu HTTPS müssen alle internen Ressourcen mit HTTPS geladen werden. Normalerweise werden absolute Links zu relativen Links geändert, Weiterleitungen eingerichtet und das Problem sofort behoben.

Mit externen Ressourcen ist das nicht so einfach.

Das ideale Szenario ist folgendes:

• finde die URL mit HTTP;
• Überprüfen Sie, ob dieselbe Ressource über HTTPS verfügbar ist.
• Wenn ja, ändern Sie den Link von HTTP zu HTTPS.
• überprüfen - wenn alles funktioniert, vergessen Sie das Problem.

Es kommt jedoch vor, dass Ressourcen nicht über HTTPS verfügbar sind. In diesem Fall gibt es drei Lösungen:

1. Wenden Sie sich an den Besitzer der Ressource und bitten Sie ihn, zu HTTPS zu wechseln (dies ist aus der Kategorie Science-Fiction).
2. Suchen Sie eine sichere Alternative zu einer Ressource auf HTTP (alle anständigen Ressourcen sind seit langem auf HTTPS umgestiegen).
3. Tun Sie nichts (dies ist ein extremer Fall - wenn Sie die Ressource einfach nicht ersetzen können und dies für Ihre Benutzer wichtig ist).

Rein technisch gesehen ist es einfacher, eine einzelne URL zu ersetzen (z. B. in einem Artikel, in dem Sie auf eine Site ohne HTTPS verwiesen haben). Es reicht aus, den Quellcode zu öffnen und eine Bearbeitung vorzunehmen.

Es gibt jedoch URLs, die nicht auf einmal repariert werden können. Dazu gehören beispielsweise Links in Stilen, Skripten, End-to-End-Links usw. In diesem Fall sollten Sie einen Programmierer anschließen oder Plugins verwenden.

Für WordPress gibt es beispielsweise folgende Plugins:

• SSL Insecure Content Fixer . Ermöglicht das automatische Korrigieren von Links zu unsicheren Ressourcen. Praktischerweise können Sie eine andere „Tiefe“ der Korrekturen auswählen und bei Bedarf externe Websites ignorieren.

• Wirklich einfaches SSL . Dies ist ein Plugin, um schnell zu HTTPS zu wechseln. Es ändert automatisch die Links zu relativen Inhalten und beseitigt gemischte Inhalte. Die PRO-Version bietet die Möglichkeit, die Site nach gemischtem Inhalt zu durchsuchen.

• Suchen & Ersetzen . Ein Plugin zum Suchen und Ersetzen von Inhalten auf der Website, einschließlich gemischter Inhalte. Domänen ändern sich auf der Registerkarte "Domain-URL ersetzen".

Nach dem Ersetzen können Sie die Details sehen - welche Links und in welchen Teilen des Codes wurden ersetzt.

Bei der Verwendung von Plugins ist es wichtig, dass Sie genau wissen, was Sie tun. Es wird nicht empfohlen, Änderungen vorzunehmen, ohne die Site zuvor zu sichern. So können Sie jederzeit zum Ausgangspunkt zurückkehren.

Und möge die Macht von HTTPS bei Ihnen sein.