Een maatregel die internetgebruikers tegen afluisteren en andere aanvallen moet beschermen als ze met HTTPS-beveiligde websites bezoeken is nog steeds niet aanwezig in Apple Safari en de Android browser. Dat laat beveiligingsonderzoeker Ivan Ristic van beveiligingsbedrijf Qualys weten.

Het probleem in kwestie ontstaat als websites die HTTPS gebruiken ook content via het onversleutelde HTTP aanbieden. Een aanvaller kan via een man-in-the-middle-aanval de HTTP-content onderscheppen om zo volledige toegang tot de website te krijgen die de content laadt. Zo is het bijvoorbeeld mogelijk om een phishingaanval uit te voeren, maar in het ergste geval is het zelfs mogelijk om de complete browser te compromitteren, waarschuwt Ristic.

"Eén kwetsbaar script is voldoende: de aanvaller kan de verbinding kapen en er een willekeurige lading in injecteren", zo laat de onderzoeker weten. Om gebruikers tegen "mixed content", zoals het laden van HTTP-content op een HTTPS-website wordt genoemd, te beschermen, blokkeren browsers de HTTP-content.

Soorten mixed content

Er zijn twee soorten mixed content, namelijk actieve mixed content, zoals scripts, en passieve mixed content, zoals afbeeldingen. Actieve content wordt als gevaarlijker beschouwd, omdat het het gedrag van de HTTPS-pagina kan aanpassen en zo in staat is om gevoelige gegevens van gebruikers te stelen. Daarom wordt voornamelijk actieve mixed content door browser geblokkeerd.

Ristic ontdekte dat zowel Apple Safari als de browser die standaard op Android-toestellen wordt gebruikt, mixed content gewoon toestaan. Daarnaast bleek Google Chrome mixed content deels te blokkeren. Zeker in het geval van Safari en de Android browser, die ook nauwelijks voor mixed content waarschuwen, kan dit een risico voor gebruikers vormen.

Webontwikkelaars krijgen dan ook het advies om ervoor te zorgen dat er op hun HTTPS-sites geen HTTP-content aanwezig is. Wie wil kijken of zijn browser mixed content blokkeert kan dat via deze pagina doen.