Google warnt in Chrome vor HTTP-Verbindungen

Ab Januar wird es mit Chrome 56 so weit sein. Allerdings handelt es sich um einen verbalen Hinweis, ergänzt um ein - wie bisher - graues Hinweisschild. "Wenn Sie eine Website über HTTP laden, können andere im gleichen Netzwerk zusehen oder sie modifizieren, bevor sie bei Ihnen eintrifft."

Google setzt seine Maßnahmen gegen unverschlüsseltes HTTP in Chrome fort. Ab Januar erscheinen HTTP-Verbindungen zu Sites, die Passwörter oder Kreditkarten anfordern, als unsicher. Statt eines roten Icons kommt aber ein graues zum Einsatz, nur ergänzt durch einen verbalen Hinweis.

Chrome (Bild: Google)Diese Änderung ist für den Start von Chrome 56 vorgesehen – die aktuelle Version heißt Chrome 53. Das rote Warndreieck mit einem weißen Ausrufezeichen darin bleibt vorerst für inkorrekte HTTPS-Verbindungen (also solche mit gescheiterter Verschlüsselung) reserviert.

Langfristig will Google diese Maßnahmen aber noch verschärfen. Dann soll zunächst im Inkognito-Modus mit rotem Dreieck vor HTTP-Verbindungen gewarnt werden. Und die letzte Eskalationsstufe ist erreicht, wenn Chrome standardmäßig vor jeglicher HTTP-Verbindung warnt.

Warnhinweise in Chrome 53 und Chrome 56 (Bild: Google)Warnhinweise in Chrome 53 und Chrome 56 (Bild: Google)

„Chrome weist HTTP-Verbindungen bisher mit einem neutralen Indikator aus“, erklärt Emily Schechter vom Chrome Security Team in einem Blogbeitrag. „Das entspricht dem tatsächlichen Mangel an Sicherheit von HTTP-Verbindungen nicht. Wenn Sie eine Website über HTTP laden, können andere im gleichen Netzwerk zusehen oder die Site modifizieren, bevor sie bei Ihnen eintrifft.“

ANZEIGE

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Googles vorsichtige Kampagne gegen HTTP läuft seit 2014. Auch Schechter weist darauf hin, dass Warnsignale ihren Wert verlieren, falls sie zu oft erscheinen.

Die Warndreiecke lassen sich aber schon heute zum Standard machen: Unter chrome://flags findet sich ein Eintrag für „Nicht sicheren Ursprung als nicht sicher markieren“. Dies bezieht sich auf HTTP-Seiten. Sie können entweder „neutral“ erscheinen, was der Standardeinstellung ist, oder „als nicht sicher markiert“ werden. Googles Wortwahl mit der Wiederholung des Ausdrucks „nicht sicher“ lässt keinen Zweifel zu, welche Option es selbst vorziehen würde.

Optionale Einstellung: Google warnt vor ZDNet.de (Screenshot: ZDNet.de).Optionale Einstellung: Google warnt vor ZDNet.de (Screenshot: ZDNet.de).

Google selbst verschlüsselt Verbindungen mit Gmail und mit seiner Suche seit 2010. Schon damals argumentierte sein Sicherheitsexperte Adam Langley, SSL/TLS-Verschlüsselung brauche nicht mehr viel Rechenkraft. Seit den NSA-Enthüllungen durch Edward Snowden hat es seine Bemühungen aber noch erheblich verstärkt. Dies spiegelt sich auch in einem höheren Page Rank für verschlüsselte Angebote wider.

Vergangenen Monat hat Google für seine Domain google.com den Sicherheitsmechanismus HTTP Strict Transport Security (HSTS) implementiert. Das bedeutet, dass ein unverschlüsselter Zugriff auf diese zentrale Google-Domain nicht mehr möglich ist.

[mit Material von Stephanie Condon, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de.

Themenseiten: Browser, Chrome, Google, Internet, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Florian Kalenda
Autor: Florian Kalenda
Leitender Redakteur ZDNet.de
Florian Kalenda
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Google warnt in Chrome vor HTTP-Verbindungen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *