Chrome: Standardmäßig in Richtung HTTPS

Google hat bekannt gegeben, dass im letzten Jahr über 90 % aller Navigationsvorgänge von Chrome-Nutzern über HTTPS-Seiten lief. Dies bedeutet, dass der Großteil des Datenverkehrs verschlüsselt und authentifiziert ist und somit vor Netzwerkangreifern geschützt sein sollte. Aber es gibt noch HTTP-Aufrufe und obwohl Chrome eine Warnung beim Besuch solcher Seiten anzeigt, möchte man mit der Einführung des „HTTPS First“-Modus einen Schritt weiter gehen.

Der „HTTPS First“-Modus stellt sicher, dass alle eingegebenen URLs oder über Links aufgerufenen Websites automatisch auf HTTPS umgestellt werden, sofern verfügbar. Wenn eine Website HTTPS nicht unterstützt, leitet Chrome den Benutzer zur Website weiter, warnt jedoch vor möglichen Sicherheitsrisiken.

Google setzt auf die Priorisierung von HTTPS, um die Sicherheit der Benutzerdaten zu erhöhen. Die Verwendung von HTTPS gewährleistet eine verschlüsselte Verbindung zwischen dem Nutzer und der Website, um das Risiko von Datenlecks und potenziellen Angriffen von Dritten zu reduzieren.
Der „HTTPS First“-Modus wird voraussichtlich in einer zukünftigen Version von Google Chrome eingeführt. Sobald der Modus aktiviert ist, wird der Browser standardmäßig alle Websites über eine sichere HTTPS-Verbindung öffnen. Bereits im aktuellen Chrome 115 experimentiert man mit dem Modus herum.

Auch bei den Downloads gibt es Änderungen. Aufbauend und erweiternd auf der vorherigen Arbeit zur Entfernung der Unterstützung für gemischte Downloads wird Chrome eine Warnung anzeigen, bevor jegliche hochriskanten Dateien über eine unsichere Verbindung heruntergeladen werden.

Heruntergeladene Dateien können bösartigen Code enthalten, der die Sandbox und andere Schutzmechanismen von Chrome umgeht. Dadurch hat ein Angreifer im Netzwerk eine einzigartige Möglichkeit, Nutzer-Computer zu kompromittieren, wenn unsichere Downloads stattfinden. Diese Warnung zielt darauf ab, die Menschen über das Risiko, das sie eingehen, zu informieren. Wenn Anwender mit dem Risiko vertraut sind, können sie die Datei dennoch herunterladen. Sofern der HTTPS-First-Modus nicht aktiviert ist, zeigt Chrome keine Warnungen an, wenn unsichere Downloads von Dateien wie Bildern, Audiodateien oder Videos erfolgen, da diese Dateitypen relativ sicher sind. Google plant, diese Warnungen ab Mitte September einzuführen.

2022 Apple 11' iPad Pro (Wi-Fi, 512 GB) - Silber (4. Generation)
2022 Apple 11" iPad Pro (Wi-Fi, 512 GB) - Silber (4. Generation)
Brillantes 11" Liquid Retina Display mit ProMotion, True Tone und großem P3 Farbraum; M2 Chip mit 8 Core...
1.189,41 EUR
Angebot
2022 Apple 12,9' iPad Pro (Wi-Fi, 128 GB) - Space Grau (6. Generation)
2022 Apple 12,9" iPad Pro (Wi-Fi, 128 GB) - Space Grau (6. Generation)
M2 Chip mit 8 Core CPU und 10 Core GPU; 12 MP Ultraweitwinkel-Frontkamera mit Folgemodus; Stay connected...
−111,14 EUR 1.337,86 EUR Amazon Prime
Apple 2022 10,9'' iPad (Wi-Fi, 64 GB) - Gelb (10. Generation)
Apple 2022 10,9'' iPad (Wi-Fi, 64 GB) - Gelb (10. Generation)
Beeindruckendes 10,9" Liquid Retina Display mit True Tone; A14 Bionic Chip mit 6 Core CPU und 4 Core GPU
429,00 EUR

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

4 Kommentare

  1. “… geschützt sein sollte”

    Bis ein selbstherrlicher Admin beschlossen hat auf allen Computern eine eigene CA zu installieren, vorgeblich zur Sicherheit der Allgemeinheit. Das ist natürlich falsch. Das ist per Definition eine Man-In-The-Middle-Attacke bei dem alle sensible Daten im Klartext anfallen. Beim nächsten IT-Zwischenfall gibt es dann die Katastrophe, weil eben nichts verschlüsselt war. Ziel? Der Admin der da mit seinem Schlangenöl mitlesen möchte!

    Ein Großteil der Informatik basiert auf Certificate-Authorities (dem Zeug mit dem jeder zweite Mitte der 90er reich geworden ist), Zwischenzertifikaten und dann den Zertifikaten. Weil das System derartig schlecht und fehleranfällig ist, hat es Microsoft in Windows eingebaut. Und dann nochmal in SecureBoot. Nur um ganz sicher zu gehen, dass schon ab dem Boot alles anfällig ist. Zertifikat gesperrt, Zertifikat abgelaufen, CA (Microsoft) unwillig und jede eigene Änderung muss signiert werden. Google hat schon Mehrfach versucht Zertifikate in Chrome sicher zu machen, vor allem bei den Revokes schief gelaufen. Das grüne Schloss sagt nur, dass irgendwas mit irgendwem verschlüsselt wird.

    Die Lösung? PGP, entweder Ihr Vertraut oder ihr Vertraut anderen. Und? Selbst signierte Zertifikate im Web. In der Tat sahen die erste Entwürfe genau das vor. Man bekommt einen Fingerprint von Zertifikat einer Website (zum Beispiel Onlinebankingvertrag), ruft die Website ab und wenn es passt nimmt man das Zertifikat an. Nur dann ist es sicher. Weil? Ihr müsst vertrauen. Und prüfen! Um es leichter zu machen kann man ASCII-Grafiken (siehe SSH) oder QR-Codes verwenden.

    Ansonsten beruft sich der Browser auf eine teilweise dubiose Liste von CAS, die Geld mit dem Verkauf (Fehlanreiz) von Zertifikaten machen. DigiNotar und Turktrust… ja okay…Ausnahmen? Wie CNNIC und Symantec?

    Ja. Aber wieso nutzen dann alle diese CAs? Geld. Und der Browser soll ein Schloss dran machen. Macht so nur keinen Sinn. Der Anwender muss prüfen. Signal und WhatsApp bieten es sogar an 😉
    Ja. Da muss man *eigentlich* die Key alle Gesprächspartner abgleichen!

    Sollte das Web mal diesen CA-Blödsinn los werden, könnte es mal sicher werden.

    PS: Bei Windowszertifikaten (die für die Panikmeldungen nach dem Herunterladen). Da kann man für kleines Geld eine der Meldungen (Smartscreen) “wegkaufen”. Es ist herrlich…

  2. Kurz gesagt: noch mehr sinnbefreite Warnungen weil sich eine Firma vorstellt Dinge besser zu wissen als alle anderen…
    Wie schon @hsci geschrieben hat – alles blos Geldbeschaffung

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.