Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

Chrome warnt ab Januar vor unverschlüsselten Passwort-Eingaben

    Chrome warnt ab Januar vor unverschlüsselten Passwort-Eingaben

HTTPS. (Bild: ktsdesign; Shutterstock)

Ab Januar 2017 wird der Chrome-Browser einen Warnhinweis anzeigen, wenn eine unverschlüsselte Website die Eingabe eines Passworts oder von Kreditkarteninformationen fordert.

Update vom 9. September 2016: Chrome wird Nutzer zukünftig davor warnen, ein Passwort oder Kreditkarteninformationen über eine unverschlüsselte Website zu übertragen. Verfügbar ist diese Funktion ab Januar 2017 mit der Chrome-Version 56. Dabei handelt es sich laut Informationen von Google aber nur um einen ersten Schritt. Später soll der Browser auch an anderen Stellen vor unverschlüsselten Webseiten warnen.

Chrome warnt euch ab Januar 2017 vor der Eingabe eines Passworts, wenn keine HTTPS-Verbindung besteht. (Screenshot: Google)
Chrome warnt euch ab Januar 2017 vor der Eingabe eines Passworts, wenn keine HTTPS-Verbindung besteht. (Screenshot: Google)

HTTPS: Seiten ohne Verschlüsselung bekommen unter Chrome ein dickes, rotes „X“ verpasst

„Google’s intention is to ‚call out‘ HTTP for what it is: ‚UNSAFE‘.“

Dass Google einen starken Fokus auf die Verschlüsselung von Websites setzt, ist nicht neu. Das US-Unternehmen hat HTTPS schon 2014 zum ein Ranking-Signal erkoren – und betrachtet es als Qualitätsmerkmal einer Seite. Es heißt, dass SSL-Websites in Zukunft in den Suchergebnissen bevorzugt behandelt werden sollen, was Websitebetreiber dazu zwingt, ihre Seiten mit den entsprechenden Protokollen zu versehen. Wann Google den Schalter aber umlegt, ist nicht bekannt.

Was aber bekannt ist: Google beginnt, Nutzer des Chrome-Browsers für das Thema zu sensibilisieren. Auf der Usenix-Enigma-Security-Conference in San Francisco hat die Sicherheitsfirma CloudFlare gezeigt, wie das unter Chrome aussehen wird.

https-warnsymbol-chrome
Rotes „X“ statt nur ein weißes Blatt: So werden bald HTTP-Seiten markiert, um für HTTPS-Verschlüsselung zu sensibilisieren. (Screenshot: t3n, NYTimes)

Derzeit werden Websites ohne SSL-Verschlüsselung nur mit einem weißen Blatt in der Adressleiste angezeigt. SSL-verschlüsselte Seiten bekommen ein grünes Vorhängeschloss, mit dem signalisiert wird, dass die Verbindung zur Seite „privat“ und sicher ist. Wenn mit der SSL-Verschlüsselung der besuchten Seite etwas nicht in Ordnung ist, wird ein rotes „X“ angezeigt. Das sollen allerdings künftig auch alle Websites verpasst bekommen, die unverschlüsselt sind.

Parisa Tabriz, Team-Lead des Google-Security-Engineering-Teams hat auf Twitter angekündigt, dass HTTP-Websites in Kürze als das markiert werden, was sie sind: unsicher.

HTTPS in Chrome: So könnt ihr das neue Warnsignal schon nutzen

Das neue Warnsignal für HTTP-Seiten können Chrome-User jetzt schon aktivieren. Hierfür muss nur die Einstellungsseite chrome://flags aufgerufen und zum Punkt „mark-non-secure as“ navigiert werden. Unter diesem Punkt muss „Nicht sicheren Ursprung als nicht sicher markieren“ ausgewählt und der Browser neu gestartet werden. Laut Chrome wird das Warnsignal unter OS X, Windows, Linux, Chrome OS und Android unterstützt.

Hier könnt ihr das neue Symbol aktivieren. (Screenshot: t3n)
Hier könnt ihr das neue Symbol aktivieren. (Screenshot: t3n)

Die Integration einer SSL-Verschlüsselung in Websites ist dank Let's Encrypt nicht mehr kostspielig, dennoch ist es insbesondere für größere (News-)Portale, die sich durch Werbung finanzieren, kein leichtes Unterfangen eine entsprechende Verschlüsselung zu integrieren. Denn nicht nur die eigene Website muss SSL-Unterstützung bieten, sondern auch beispielsweise die Integrationen der Werbevermarkter.

Finde einen Job, den du liebst zum Thema Chrome, Browser

15 Reaktionen
grep

Hallo joerg.gastmann,

angenommen Sie rufen eine nicht verschlüsselte Webseite (z. B. http://t3n.de) auf, nun könnten angefragte (Webseiten-)Daten von einem 'unbefugtem Dritten', welcher zwischen Ihrer Verbindung (PC) und der Webseite (Server) den (besagten) Datenstrom abfängt (dieser liegt - da unverschlüsselt - im Klartext vor) und (exklusiv für Sie) derart manipuliert sodass Sie beispielsweise eine modifizierte (falsche) Webseite betrachten.

Also im Klartext (erhalten Sie dann) gefälschte Nachrichten, Informationen, usw. !

Ciao, Sascha.

Antworten
joerg.gastmann
joerg.gastmann

Kann mir jemand den Sinn der Verschlüsselung von read-only Websites erklären, bei denen man lediglich Text liest und auf denen keine Transaktionen stattfinden (was bei den allermeisten Websites der Fall ist)?

Antworten
andreas.just
andreas.just

Hallo t3n, sucht ihr noch einen Korrekturleser ;-)?

"SSL-verlüsselte Seiten bekommen..."

Antworten
grep

Hallo Max, Kris und Ralf,

der SSL- / TLS-Handshake nagt ein wenig an der Performance einer Webseite ... ggf. liefert t3n(.de) deshalb seine Inhalte nicht via HTTPS aus.

Soweit unbefugte Dritte Datenverkehr abhören / manipulieren möchten ist ihnen dies aufgrund einer verschlüsselten Verbindung i. d. R. nicht möglich.

In diesem Kontext bezieht sich dass nicht lediglich auf sensible (Login-)Daten sondern auch auf die Modifizierung frei verfügbarer (Webseiten-)Daten.

SSL- / TLS-Zertifakte sind (auch) kostenfrei erhältlich; insofern stellen wirtschaftliche Hemmnisse kein haltbares Argument dar.

Ciao, Sascha.

Antworten
Ralf

Und wenn man 10 Webseiten hat, braucht man 10 Zertifikate. Das kostet aber schon etwas Geld. Ob sich das für private Webseiten lohnt ?

Antworten
Karl
Karl

Bei der privaten Website ist es auch nicht schlimm, wenn diese als "unsicher" markiert ist.

Antworten
Donngal

Mit letsencrypt kostet dich ein Zertifikat gar nichts.

Antworten
Karl
Karl

Theoretisch ja, hat ein privater User root Zugriff? Eher nein

andreas.just
andreas.just

Nur kann nicht jeder ohne weiteres (und ohne eigenen Server) letsencrypt einsetzen :/ ...

Ich
Ich

StartSSL.com bietet kostenlose SSL-Zertifikate die von allen modernen Browsern und Smartphones akzeptiert warden: https://www.startssl.com

Antworten
Kris
Kris

Seiten, die keine Formulare bieten, bauchen kein SSL. Mit SSL wären solche Seiten auch nicht sicherer :D

Antworten
Kris
Kris

Interessanter Beitrag dazu: http://feller.systems/blog/server-hosting/https-komplettverschluesselung-website-sinnvoll-und-rankingfaktor/

Es gibt doch ein paar Vorteile auch für statische Seiten...

Antworten
Max
Max

Wird dann t3n auch endlich SSL anbieten?

Antworten
Karl
Karl

SSL für t3n kommt Zeitgleich mit der modernen Bildergalerie. Das kann aber noch dauern, weil die alte Bildergalerie pro Bild einen Seitenaufruf und damit Werbeeinnahmen bedeutet ;)

Antworten
grep

Hallo ...,

endlich mal eine positive Entwicklung bei Google im Sinne des Datenschutzes.

Webseitenbetreiber werden hierdurch bedingt künftig (v)Server administrieren (lassen) müssen.

Oder die sog. Webspace- / Hostinganbieter müssen die (externe) Implementierung betreffender Zertifikate (durch Dritte) vornehmen (lassen).

Ciao, Sascha

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen