Google warnt in Chrome vor HTTP-Verbindungen

Ab Januar wird es mit Chrome 56 so weit sein. Allerdings handelt es sich um einen verbalen Hinweis, ergänzt um ein - wie bisher - graues Hinweisschild. "Wenn Sie eine Website über HTTP laden, können andere im gleichen Netzwerk zusehen oder sie modifizieren, bevor sie bei Ihnen eintrifft."

Google setzt seine Maßnahmen gegen unverschlüsseltes HTTP in Chrome fort. Ab Januar erscheinen HTTP-Verbindungen zu Sites, die Passwörter oder Kreditkarten anfordern, als unsicher. Statt eines roten Icons kommt aber ein graues zum Einsatz, nur ergänzt durch einen verbalen Hinweis.

Chrome (Bild: Google)Diese Änderung ist für den Start von Chrome 56 vorgesehen – die aktuelle Version heißt Chrome 53. Das rote Warndreieck mit einem weißen Ausrufezeichen darin bleibt vorerst für inkorrekte HTTPS-Verbindungen (also solche mit gescheiterter Verschlüsselung) reserviert.

Langfristig will Google diese Maßnahmen aber noch verschärfen. Dann soll zunächst im Inkognito-Modus mit rotem Dreieck vor HTTP-Verbindungen gewarnt werden. Und die letzte Eskalationsstufe ist erreicht, wenn Chrome standardmäßig vor jeglicher HTTP-Verbindung warnt.

Warnhinweise in Chrome 53 und Chrome 56 (Bild: Google)Warnhinweise in Chrome 53 und Chrome 56 (Bild: Google)

„Chrome weist HTTP-Verbindungen bisher mit einem neutralen Indikator aus“, erklärt Emily Schechter vom Chrome Security Team in einem Blogbeitrag. „Das entspricht dem tatsächlichen Mangel an Sicherheit von HTTP-Verbindungen nicht. Wenn Sie eine Website über HTTP laden, können andere im gleichen Netzwerk zusehen oder die Site modifizieren, bevor sie bei Ihnen eintrifft.“

ANZEIGE

SAS Viya: Analytics dort hinbringen, wo sie gebraucht wird

Die digitale Transformation ist heute Realität. Und krempelt Unternehmen und ganze Branchen um, die sich komplett neue Geschäftsmodelle überlegen müssen. Bei Analytics, der Kerntechnologie der digitalen Transformation, ist deshalb maximale Flexibilität gefragt. Und höchstes Tempo. Starre Architekturen stehen der Innovation immer öfter im Weg. Mit SAS Viya geht SAS einen neuen Weg: Analytics flexibel, zugänglich und offen in der Cloud.

Googles vorsichtige Kampagne gegen HTTP läuft seit 2014. Auch Schechter weist darauf hin, dass Warnsignale ihren Wert verlieren, falls sie zu oft erscheinen.

Die Warndreiecke lassen sich aber schon heute zum Standard machen: Unter chrome://flags findet sich ein Eintrag für „Nicht sicheren Ursprung als nicht sicher markieren“. Dies bezieht sich auf HTTP-Seiten. Sie können entweder „neutral“ erscheinen, was der Standardeinstellung ist, oder „als nicht sicher markiert“ werden. Googles Wortwahl mit der Wiederholung des Ausdrucks „nicht sicher“ lässt keinen Zweifel zu, welche Option es selbst vorziehen würde.

Optionale Einstellung: Google warnt vor ZDNet.de (Screenshot: ZDNet.de).Optionale Einstellung: Google warnt vor ZDNet.de (Screenshot: ZDNet.de).

Google selbst verschlüsselt Verbindungen mit Gmail und mit seiner Suche seit 2010. Schon damals argumentierte sein Sicherheitsexperte Adam Langley, SSL/TLS-Verschlüsselung brauche nicht mehr viel Rechenkraft. Seit den NSA-Enthüllungen durch Edward Snowden hat es seine Bemühungen aber noch erheblich verstärkt. Dies spiegelt sich auch in einem höheren Page Rank für verschlüsselte Angebote wider.

Vergangenen Monat hat Google für seine Domain google.com den Sicherheitsmechanismus HTTP Strict Transport Security (HSTS) implementiert. Das bedeutet, dass ein unverschlüsselter Zugriff auf diese zentrale Google-Domain nicht mehr möglich ist.

[mit Material von Stephanie Condon, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de.

Neueste Kommentare 

Noch keine Kommentare zu Google warnt in Chrome vor HTTP-Verbindungen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *