Google Chrome: HTTP hat es ab 2020 schwer, HTTPS-Pflicht auch für Sub-Ressourcen

Das Aufrufen von Internetseiten erfolgt seit ein paar Jahren in der Regel über HTTPS. Der Umstieg klappt auch ganz gut, mittlerweile wird 90 Prozent der Surfzeit auf HTTPS-Seiten verbracht. Aber ein Problem gibt es: Mixed Content. Das beutetet, dass eine Seite zwar durchaus HTTPS anbietet, aber Inhalte auf dieser Seite nicht, zum Beispiel weil Bilder aus einer Drittquelle geladen werden.

Das bietet Potential für einen Angriff, man könnte beispielsweise Bilder manipulieren und so auf einer Seite für Falschinformationen sorgen. Viele HTTP-Inhalte werden heute bereits automatisch blockiert, das gilt aber nicht für Bilder, Videos und Audio.

Google wird nun eine Serie von Updates für Chrome veröffentlichen, die HTTP-Inhalte dann komplett blockieren. Das startet bereits mit Chrome 79, der im Dezember in den Stable-Channel kommt. In Chrome 79 wird es eine neue Einstellung geben, die das Blockieren von HTTP-Inhalten auf einzelnen Seiten aufhebt (siehe Bild). Diese Aufhebung kann für Skripte, iFrames und andere Inhalte vonstattengehen, also solche Inhalte, die heute schon automatisch blockiert werden.

In Chrome 80 wird Google dann alle Audio- und Videoquellen automatisch auf HTTPS upgraden. Ist dies nicht möglich, wird der Inhalt standardmäßig blockiert. Bilder, die über HTTP eingebunden sind, werden indes angezeigt, sorgen aber dafür, dass die Webseite als „nicht sicher“ angezeigt wird. Google erhofft sich so eine Umstellung durch die Webseitenbetreiber.

In Chrome 81 werden dann auch HTTP-Bilder automatisch auf HTTPS aktualisiert. Ist dies nicht möglich, werden die Bilder blockiert. Chrome 81 ist für Februar 2020 in frühen Release-Kanälen angedacht. Webseitenbetreiber haben also noch ein bisschen Zeit für etwaige Anpassungen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

16 Kommentare

  1. Tolle Sache, die User vom Browser zu vertreiben

  2. Tolle Sache, um IT Administratoren wiederholt aufzufordern ihrer Pflicht, wohlwollend formuliert: Ihrem beruflichen Anspruch gerecht zu werden. Gut so.

    • Warum sollte eine Seite, die weder eine Registrierung hat, noch ein LogIn und keine Kommentarfunktion, den Traffic über https laufen lassen, nur weil Google das so möchte?

      • Es geht doch nur um Mixed-Content. Ich verstehe das so, dass das nichts mit reinen HTTP-Seiten zu tun hat.

      • Naja, aber wie möchtest du in dem Fall als Browserhersteller danach prüfen? Des weiteren sorgt ja auch HTTPS dafür, dass die Inhalte nicht per MITM manipuliert werden können. Das ist schon irgendwo sinnvoll, korrigiere mich sofern ich falsch liege.

      • so sehe ich es auch

  3. Ach ja zusammen mit der Kastration der Werbe Blocker API in Chrome, und bald dann auch noch Standard gemäß DOH im Browser, werde ich wohl neben Pihole noch weitere Maßnahmen auf meinen Raspberry Pi laufen lassen müssen, Mal sehen wo das alles endet^^

    • Passt nicht wirklich zum eigentlichen Thema, aber wo ich gerade pihole lese: Ich habe hier ein einzelnes Android-Smartphone, was am Werbeblocker vorbei ins Netz geht, während die Abfragen aller anderen Geräte im Haushalt gefiltert werden. Woran kann das liegen?

  4. Vorab: ich finde es generell absolut sinnvoll, heutzutage alle Webseiten über HTTPS auszuliefern.
    Aber: Ich finde es echt unglaublich dass Google sich dazu erdreistet, quasi in die Inhalte einzugreifen, um sie über HTTPS auszuspielen (da wo es eben noch nicht der Fall ist).
    Wer sagt, dass Google nicht dabei die Inhalte verändert? Was wird alles dabei getrackt?
    Ich bin heilfroh vor Jahren schon von Chrome wieder zu Firefox gewechselt zu haben. Da ist auch nicht alles super aber wenigstens gibt’s da keine solchen Allmachtsphantasien.

  5. Richtig coole News!

    @Rolf HTTPS erschwert auch das Schnüffeln in öffentlichen Netzwerken und durch den ISP.

    • Was soll da groß geschnüffelt werden, wenn man einfach irgendwelche Seiten liest, ohne Formulare auszufüllen o.ä.? Denn der erste Aufruf der Adresse/Domain ist ja trotzdem mitlesbar, sowohl ISP als auch jemand der in einem öffentlichen Netz „mithört“ weiß also, welche Seite ich aufgerufen habe. Der Inhalt wird danach zwar verschlüsselt übertragen, aber den kann der „große Bruder“ sich dann ja auch einfach so angucken…..

  6. Sehr gut! In Zeiten von Let’s Encrypt gibt es keine Ausrede mehr um nicht auf HTTPs zu setzen.

    • FriedeFreudeEierkuchen says:

      Du hast einen etwas engen Blick. Schau dich doch mal in der Provider-Landschaft um. Es gibt noch sehr viele, die kein Let’s Encrypt anbieten, weil sie sich angewöhnt haben mit Zertifikaten Geld zu verdienen. Manchmal muss man auf eine neues Paket wechseln (inklusive Serverwechsel). Theoretisch kann man auch den Provider wechseln. Nur: in der Praxis habe ich oft gesehen, dass die meisten damit komplett überfordert sind. Das fängt bei der Providerauswahl an, geht bei den Änderungen für den Webspace oder die E-Mail-Accounts weiter.
      Klar: wenn man sich auskennt, ist das alles kein Problem. In der Realität gibt es aber sehr viele Gründe, warum die Umstellung für viele nicht so einfach ist. Das jetzt mit dem Browser zu erzwingen, finde ich in vielen Fällen total übertrieben. Mir gefällt es auch nicht, dass Google als einer der zentralen Inhalteanbieter die Nutzer und Betreiber erziehen will.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.