Een maatregel die internetgebruikers tegen afluisteren en andere aanvallen moet beschermen als ze met HTTPS-beveiligde websites bezoeken is nog steeds niet aanwezig in Apple Safari en de Android browser.
Het probleem in kwestie ontstaat als websites die HTTPS gebruiken ook content via het onversleutelde HTTP aanbieden. Een aanvaller kan via een man-in-the-middle-aanval de HTTP-content onderscheppen om zo volledige toegang tot de website te krijgen die de content laadt.
Er zijn twee soorten mixed content, namelijk actieve mixed content, zoals scripts, en passieve mixed content, zoals afbeeldingen. Actieve content wordt als gevaarlijker beschouwd, omdat het het gedrag van de HTTPS-pagina kan aanpassen en zo in staat is om gevoelige gegevens van gebruikers te stelen. Daarom wordt voornamelijk actieve mixed content door browser geblokkeerd.
Ristic ontdekte dat zowel Apple Safari als de browser die standaard op Android-toestellen wordt gebruikt, mixed content gewoon toestaan. Daarnaast bleek Google Chrome mixed content deels te blokkeren. Zeker in het geval van Safari en de Android browser, die ook nauwelijks voor mixed content waarschuwen, kan dit een risico voor gebruikers vormen.
"Eén kwetsbaar script is voldoende: de aanvaller kan de verbinding kapen en er een willekeurige lading in injecteren", zo laat de onderzoeker weten. Om gebruikers tegen "mixed content", zoals het laden van HTTP-content op een HTTPS-website wordt genoemd, te beschermen, blokkeren browsers de HTTP-content.
Alles bij de bron; Security