Chrome: Warnung vor unsicheren Ressourcen
Bei einer Website stießen wir kürzlich auf eine Warnung von Chrome (v 41), wie sie rechts zu sehen ist. Schnell war abgeklärt, dass keine „veraltete Kryptographie“ im Einsatz ist. Also nahmen wir den Teil „Diese Seite enthält jedoch andere, nicht sichere Ressourcen.“ unter die Lupe. Per Durchsicht im HTML-Quellcode konnten wir keine Resourcen-Einbindung mit „http://“-Quellen entdecken. Zur Sicherheit wurden sämtliche Javascripte und CSS-Dateien herausgenommen. Chrome meldete weiterhin seine Bedenken. Aus Clientsicht ließ sich nichts mehr erkennen. Wir guckten uns die Sache daher serverseitig an: welche Resourcen werden denn dort angefordert (nachdem wir externe Quellen ausschließen konnten)? Doch im access-Log tauchten zur Seiten-Anfragen via HTTPS auch nur Folgeanfragen via HTTPS auf. Nach und nach haben wir die Seite weiter minimalisiert – bis der „Schuldige“ gefunden war: ein Formular, das als action-URL einen http-URL enthielt.
Merke:
action-URLs sind zwar keine Resourcen, werden von Chrome aber offenbar als solche angesehen und ggf. bemängelt.
Danke für diese doch so aussagekräftige Fehlermeldung… 🙁