Blokkering van gemengde inhoud in Firefox

Firefox beschermt u tegen aanvallen door potentieel schadelijke, onveilige inhoud op webpagina’s die volledig veilig zouden moeten zijn, te blokkeren. Lees verder voor meer info over gemengde inhoud en hoe u kunt zien of Firefox deze heeft geblokkeerd.

Wat is gemengde inhoud en wat zijn de risico’s?

HTTP is een systeem voor het overbrengen van gegevens van een webserver naar uw browser. HTTP is niet veilig, dus als u een pagina bezoekt die het HTTP-protocol volgt, dan is de verbinding gevoelig voor meeluisteren en man-in-the-middle-aanvallen. De meeste websites gebruiken HTTP omdat er geen gevoelige informatie over en weer wordt gestuurd, en daarom niet hoeft te worden beveiligd.

Als u een pagina bezoekt die volledig via HTTPS wordt doorgegeven, zoals van een bank, dan ziet u een pictogram van een groen hangslot Fx57GreenPadlock hangslot Fx70GreyPadlock in de adresbalk (lees voor details Hoe weet ik of mijn verbinding met een website is beveiligd?). Dit betekent dat uw verbinding geauthenticeerd en versleuteld is, en zodoende beveiligd tegen zowel afluisteren als man-in-the-middle-aanvallen.

Echter, als de bezochte HTTPS-pagina HTTP-inhoud bevat, dan kan het HTTP-gedeelte gelezen en aangepast worden door aanvallers, zelfs als de hoofdpagina via HTTPS wordt geleverd. Als een HTTPS-pagina HTTP-inhoud bevat, dan noemen we die inhoud ‘gemengd’. De bezochte pagina wordt slechts gedeeltelijk versleuteld en hoewel deze veilig lijkt, is hij het niet. Lees deze blogpost voor meer informatie over gemengde inhoud (actief en passief).

Wat zijn de risico’s van gemengde inhoud? Een aanvaller kan de HTTP-inhoud op de bezochte pagina vervangen om uw aanmeldgegevens te stelen, uw account over te nemen, gevoelige gegevens over u te bemachtigen of malware op uw computer proberen te installeren.

Hoe weet ik of een pagina gemengde inhoud bevat?

Er zijn twee typen gemengde inhoud: gemengde passieve/vensterinhoud en gemengde actieve inhoud. Het verschil ligt in het dreigingsniveau. Zoek naar een hangslotpictogram in uw adresbalk om vast te stellen of de pagina gemengde inhoud bevat.

FF70 Gray Padlock Fx69GreenPadlockWithShield

Noot: het schildpictogram Address bar shield in de adresbalk geeft aan welke trackers op een website worden geblokkeerd. Zie InhoudsblokkeringVerbeterde bescherming tegen volgen voor meer informatie.

Geen gemengde inhoud: veilig

  • Gray padlock - Firefox 70 green lock 42 : u ziet een grijsgroen slotje wanneer u zich op een volledig beveiligde (HTTPS) pagina bevindt. Om te zien of Firefox onderdelen van de pagina heeft geblokkeerd die niet zijn beveiligd, klikt u op het grijzegroene slotje. Zie de sectie Gemengde inhoud deblokkeren hieronder voor meer informatie.

Gemengde inhoud is niet geblokkeerd: niet veilig

  • unblocked mixed content 42 : als u een slotje met een rode streep erdoorheen ziet, bevat de pagina gemengde actieve inhoud en blokkeert Firefox de onveilige elementen niet. Die pagina is kwetsbaar voor afluisteren en aanvallen waarbij uw persoonlijke gegevens vanaf de website zouden kunnen worden gestolen. Tenzij u gemengde inhoud hebt gedeblokkeerd via de instructies in de volgende sectie, zou u dit pictogram bij een beveiligde (HTTPS) website niet mogen zien. Noot: een slotje met een rode streep wordt ook getoond voor niet-versleutelde (HTTP of FTP) websiteseen niet-versleutelde (HTTP) aanmeldpagina.
  • orange triangle grey lock 42 : een grijs slotje met een oranje driehoek geeft aan dat Firefox onveilige passieve inhoud niet blokkeert, zoals afbeeldingen. Standaard blokkeert Firefox gemengde passieve inhoud niet; u ziet slechts een waarschuwing dat de pagina niet volledig veilig is. Aanvallers zouden gedeelten van de pagina kunnen manipuleren, zoals door misleidende of ongepaste inhoud weer te geven, maar het zou niet mogelijk moeten zijn dat ze uw persoonlijke gegevens vanaf de website stelen.

Zie dit Mozilla Developer Network-artikel voor meer informatie over gemengde actieve en passieve inhoud.

Gemengde inhoud deblokkeren

Het deblokkeren van gemengde inhoud wordt niet aanbevolen, maar kan worden gedaan als dat nodig is:

  1. Klik op het slotje in de adresbalk.
  2. Klik op de pijl in het Beheercentrum:
    FF70 Mixed Content Fx63MixedContent
  3. Klik op Bescherming voor nu uitschakelen.
    FF70 Disable Protection Fx63MixedContent-DisableProtection

Om de bescherming in te schakelen, volgt u de voorgaande stappen en klikt u op Bescherming inschakelen.

Waarschuwing: het deblokkeren van gemengde inhoud kan u kwetsbaar maken voor aanvallen.
Ontwikkelaars: als uw website beveiligingsfouten genereert vanwege onveilige inhoud, bekijk dan het MDN-artikel Een website met geblokkeerde gemengde inhoud in orde maken.

Was dit artikel nuttig?

Een moment geduld…

Deze aardige mensen hebben geholpen bij het schrijven van dit artikel:

Illustration of hands

Vrijwilliger worden

Laat uw expertise groeien en deel deze met anderen. Beantwoord vragen en verbeter onze kennisbank.

Meer info