Google stuft HTTP als unsicher ein

Es schlägt vor, dies in der URL-Leiste von Browsern zu markieren. Für Chrome will es 2015 einen Übergangsplan vorlegen. Im Augenblick wäre eine deutliche Mehrzahl der Internet-Angebote betroffen.

Google hat auf einer Chromium-Seite vorgeschlagen, alle HTTP-Seiten in User-Agenten wie Browsern als unsicher zu markieren. Schließlich biete die Standardversion des Hypertext Transfer Protocol keinerlei Sicherheit. Das Unternehmen macht damit in seinem Engagement für verschlüsselte Web-Verbindungen einen weiteren Schritt nach vorn.

(Bild: Google)

Anwender würden nach Googles Vorstellung von ihrem Browser auf jeder Website gewarnt, die keine Verschlüsselung einsetzt – also auf einer großen Mehrheit der Internet-Angebote, darunter etwa auch ZDNet.de. Ein Nachteil wäre sicherlich eine Verunsicherung der Anwender. Zudem besteht die Gefahr, dass Warnungen zunehmend ignoriert werden, wenn sie überall erscheinen.

Bisher ging der Ansatz der Browserhersteller in die entgegengesetzte Richtung, etwa SSL/TLS-verschlüsselte Seiten positiv (typischerweise in Grün) hervorzuheben. EV-SSL-Zertifikate könnten als noch einmal sicherer markiert werden.

2014 hatte Google schon den Zeitplan fürs Auslaufen der Unterstützung von SSL 3.0 beschleunigt. Dieses Protokoll ist, wie inzwischen dokumentiert wurde, von Grund auf unsicher. Es drängte zudem auf einen schnelleren Wechsel von SHA-1 auf SHA-2 für Hashes. Weil Google auch die Standard-Mechanismen für Zertifikatsprüfungen für anfällig hält, hat es in diesem Jahr eine Alternativmethode eingeführt. Und schließlich hat es den Page-Rank von verschlüsselten (und somit etwas langsamer ladenden) Webseiten erhöht.

Der jetzige Vorschlag ist erst einmal wirklich nur ein Vorschlag, zu dem Google Feedback einholt. Dass Chrome in näherer Zukunft jede HTTP-Verbindung in der URL-Leiste durch eine rote Markierung als unsicher einstuft, ist nicht zu erwarten. Allerdings unterstreicht Google die Dringlichkeit des Vorhabens durch die Ankündigung, im Lauf des Jahres 2015 einen Übergangsplan für Chrome vorzulegen.

HTTPS, also verschlüsseltes HTTP, kommt heute nicht nur bei Google-Diensten wie Gmail zum Einsatz, sondern auch in Social Networks wie Facebook und Twitter oder bei Yahoo Mail. Bei reinen Inhalte-Angeboten, die zudem kein Log-in erfordern, scheint es zunächst überflüssig, schränkt aber zumindest Usertracking und auch Versuche ein, die Webverbindung etwa durch Man-in-the-Middle-Angriffe zu entführen.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Browser, Google, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

8 Kommentare zu Google stuft HTTP als unsicher ein

Kommentar hinzufügen
  • Am 18. Dezember 2014 um 10:31 von hermannk

    Welchen Vorteil hat es, sich auf einer Seite anzumelden, die „lediglich Inhalte“ anbietet? Die Eingaben auf den Seiten sind nur das Anklicken von Links und Buttons. Ich sehe dort keinen.

    Bei Seiten, die wesentliche Eingaben erfordern (z.B. bei der Eingabe eines Kommentars hier bei zdnet) könnte das anders sein, muss aber nicht zwangsläufig.

    Bei sicherheitsrelevanten Eingaben (Banking, Shopping, …) ist der Aufbau einer verschlüsselten Sitzung ohnehin unumstritten.

    • Am 18. Dezember 2014 um 10:55 von Peter Marwan

      Hallo,
      ein Vorteil wär es, dass Sie wissen, dass Sie tatsächlich auf der Site sind, auf der Sie zu sein glauben. Das wird in Zukunft immer wichtiger, da die Versuche, Nutzer auf zum Beispiel Malware-verseuchte Seiten umzuleiten zunehmen. Ein Trick dabei ist, dass die Zielseite eine exakte oder zumindest passable Kopie einer dem Nutzer vertrauenswürdig erscheinende Site ist. Das hat der Kollege auch im letzten Absatz kurz angerissen. Mit HTTPS wäre das so nicht möglich. Daher arbeitet auch NetMediaEurope Deutschland, der Betreiber von ZDNet.de daran.

      Peter Marwan
      Redaktion ZDNet.de

      • Am 19. Dezember 2014 um 12:30 von hermannk

        Danke für die Erläuterung. Das ist nachvollziehbar. Mir fehlt es einfach an der kriminellen Energie, mir vorzustellen, dass ich durch einen Link zwischen harmlosen Wikipedia-Aufrufen auf eine verseuchte Seite umgeleitet werde. Aber ich bin lernfähig. Leider bedeutet das für mich als Weseiten-Betreiber langfristig Mehrarbeit und Kosten (Zeritfikat).

    • Am 18. Dezember 2014 um 22:52 von Fabian Foerster

      Es geht dabei nicht primär die Verschlüsslung, sondern darum, die neuen Webprotokolle SPDY und QUIC (HTTP/2.0) einzusetzen, diese funktionieren nämlich nur mit TLS. Diese Protokolle verbessern durch zahlreiche Optimierungen wesentlich die Geschwindigkeit beim Browsen und minimieren den Overhead. Schon SPDY macht in den meisten Fällen den Geschwindigkeitsnachteil wett, der durch den TLS-Verbindungsaufbau entsteht. Google selbst pusht die neuen Protokolle ganz massiv und entwickelt diese weiter. Bei Milliarden von Zugriffen am Tag hat jeder kleinste Geschwindigkeitszuwachs große Auswirkungen.

      • Am 19. Dezember 2014 um 12:43 von hermannk

        Da sehe ich drei Aspekte:

        1 Wenn alle Webseitenbetreiber sich bemühen würden, unnötigen Traffic zu vermeiden, gäbe es sinnvollere Möglichkeiten. Ich denke dabei noch nicht einmal an die Werbung. Wenn ich mir den Quelltext der meisten Seiten ansehe, ist das geradezu ein Paradebeispiel für die Veranschaulichung von Redundanz.

        2 Es mag durchaus richtig sein, die Zuverlässigkeit des TCP der Geschwindigkeit des UDP zu opfern. Ich gehe mal davon aus, dass QUIC selbst Prüfungen eingebaut hat. Leider müssen wir uns von der Einfachheit und der Zuverlässigkeit des ursprünglichen HTTP Ansatzes verabschieden.

        3 Protokolle sind ein zentraler Bestandteil des Internet. Sie wurden öffentlich (RFCs) publiziert und fortentwickelt. Nun entwickelt Google ein eigenes Protokoll. Aus der Microsoft Ära erinnere ich mich noch daran, wie Protokolle nur teilweise veröffentlicht wurden. Wird in Zukunft der Chrome aus unerklärlichen Gründen schneller sein als seine Konkurrenten?

  • Am 18. Dezember 2014 um 14:21 von Martin

    Kein Wunder dass Google möglichst alles in https haben will. Dann könnte nämlich nicht mehr so einfach überprüft werden, welche Informationen sie von überall her sammeln.

    • Am 18. Dezember 2014 um 22:44 von Fabian Foerster

      Offensichtlich haben Sie keine Ahnung, wovon Sie reden, denn Sie vergleichen gerade Äpfel mit Birnen.

      Zu der sogenannten Datenkrake Google: ein Blick in das Google Dashboard zeigt jedem User an, welche Daten gespeichert worden sind, und das sind weit weniger, als Sie denken! Man muss sich natürlich auch damit auseinandersetzen, statt immer nur den gleichen Unsinn nachzuplappern, der über Google behauptet wird.

      • Am 19. Dezember 2014 um 14:21 von Bevor

        Bevor man anderen Unwissen vorwirft, sollte man sich sicher sein, selber die ‚Wahrheit‘ zu kennen.

        Tatsache ist, dass das Dashboard nur einen kleinen Teil der von Google erhobenen, und dem ANWENDER (rüder bewusst Google Produkte nutzt!) die Daten zeigt, die Google ihm zumutet wissen zu dürfen. Wer denkt, dass das alle Daten sind, der dürfte sich mit sehr hoher Wahrscheinlichkeit irren.

        Tatsächlich sammelt Google weit mehr Daten, als im Dashboard gezeigt werden, und ist bereits jetzt so weit, ein dichtes Datennetz um jeden zu stricken.

        Und selbst wenn sie sich jetzt freiwillig mäßigen sollten, ist das geine Garantie, dass das in fünf Jahren nicht anders ist. Neuer CEO, neues Spiel – siehe Microsoft.

        PS: zum ANWENDER: aus Sicht von Google ist jeder, der die Services – sei es auch nur ein einziges Mal die Google Suche – Anwender, und es darf gesammelt werden. Im Dashboard werden aber nur Anwender geführt, die sich aktiv für ein Google Produkt (Google+, Gmail, Youtube, etc.) registriert haben.

        Der Rest der ‚Anwender‘ kann ohne Registrierung nichts einstellen. Es gibt keine offen zugängige Option, um Google auszusperren – sie bedienen sich einfach.

        Ich müsste mich registrieren, um die erhobenen Daten einzusehen – und dafür erst einmal neue Daten liefern. Das ist schlicht Mist.

        Das wäre so, als müsste ich mich bei einem Versender von Spam Mail registrieren, um keine Spam Mail mehr zu bekommen. Bei jedem Spammer … und damit das akzeptiert wird, müsste ich ihm alle meine Mail Adressen nennen. Na toll! Danke!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *