Chrome 56 markiert HTTP-Seiten als unsicher, die Passwörter übertragen

Google wird schon bald eine neue Sicherheitsfunktion in seinen Webbrowser Google Chrome einbauen. Ab Anfang 2017 sollen dann Webseiten als unsicher markiert werden, die Passwörter, Kreditkarten oder andere sensible Daten per HTTP-Verbindungen ... mehr... Browser, Logo, Chrome Bildquelle: Google Browser, Logo, Chrome Browser, Logo, Chrome Google

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Na, dann mal ran an die Arbeit WinFuture... T minus 3 Monate :-)
 
@Vollbluthonk: Das Winfuture Login ist SSL verschlüsselt, nur das Anmeldeformular befindet sich auf einem HTTP-Dokument. (Du musst das Post-Target betrachten, nicht die einbindende Seite)

Ich hoffe, dass Google seine Unterscheidung weiser trifft.
 
"Google lockt allerdings Webseitenbetreiber auch mit besseren Rankings von HTTPS-Seiten in den Suchergebnissen. "

Google beeinflusst doch das Ranking nicht. Nie und nimmer.....
 
@LastFrontier: Google schreibt den Algorithmus...und da einzubauen, dass HTTPS besser bewertet wird als HTTP ist da absolut kein Problem...
Das ist auch völlig richtig so...

Die Grundregeln des Algorithmus sind meines Wissens nach bekannt.

Was Google immer nachgesagt wird, dass sie Ratings am Algorithmus vorbeischmuggeln, beweise gibt es dafür aber nicht...
 
@Draco2007: Daraufhinzuweisen, dass eine Seite sicheroder unsicherist, ist das eine. Das sichere Seiten aber im Ranking gepusht werden ist das andere.
Google nimmt sehr wohl Einfluss auf das Ranking. Werdas Gegenteil behauptet hat schlichtweg keine Ahnung oder ist furchtbat naiv.
Google ist das grösste Werbeunternehmen der Welt und hat sehr wohl ein Intersesse daran Rankings zugunsten ihrer zahlenden Werbekunden zu betreiben.
In dieser Branche ist das übrigens normal. Das geht bei Verlagen und ihren Zeitscriften schon los.
Du kanst nämlich von jeder Zeitung und jedem Magazin die Titelseite kaufen.
Du kannst sogar bei N24 einen Fulm über dich oder deine Firma drehenlassen und die platzieren das dann als Doku auf ihrem Kanal.
Habe ich vor jahren auch schon gemacht. Einen Elebnis-Gastronomiebetrieb eröffnet. Nach zwei Monaten die Titelseite der grössten Lokalzeitung gekauft mit einem ausführlichen Bericht über die Lokalität und über Nacht war ich bei über 1 million Menschen im Einzugsgebiet bekannt. Der ganze Spass hat ca. 10.000 DM gekostet, war es aber allemal wert. Denn der Andrang war immens und die Investition hat sich voll gerechnet.
 
Solange wie sie nicht begreifen (wollen) daß HTTPs eine Website nicht sicherer macht und daß HTTP-ohne-s als Infoseite mehr als ausreichend ist (und am besten noch LetsEncrypt & Co pushen)...

- Solche Warnmeldungen gab es schon mal.

- Im Internet Explorer.

- Einschließlich Version 4.

Aber, unabhängig davon kann nur drauf gepocht werden: SSL ist kein Allheilmittel. Es ermöglicht lediglich, den Gegenüber zu identifizieren - nicht mehr, nicht weniger. Identifizieren muß man allerdings auch schon selber und damit wird ein funktionierendes, zuverlässiges(!) HTTPs aufwendiger in der Bedienung als ein gar nicht erst vorhandenes.

Alles, was HTTPs sonst ermöglicht, ist die ILLUSION daß die Verbindung "sicher" sei (laut Browserinformation"); ob das aber tatsächlich so IST, das steht in den Sternen (wenn man sich nicht hinstellt und herausfindet, was zugegeben ohne SSL/TLS nicht geht).

TLDR; das entwickelt sich grade zum "VPN" unter den Sicherheitslösungen und der einzige der von sowas profitiert sind die Geheimdienste, die sich da als Recovery Agents einklinken und schon deswegen unerkannt bleiben, weil der SSL-DAU seiner Verbindung 'vertraut'. Oder anders gesagt, es GEHT sicher, aber es ist eben nicht INHÄRENT sicher.
 
@RalphS: Dass SSL verhindert, dass unterwegs jeder den Usernamen und Passwort mitlesen kann, diese wichtige Information lassen wir mal geflissentlich unter den Tisch fallen...
 
@JanKrohn: Und Du ignorierst, daß SSL/TLS Deine Daten tunnelt und daß Du schon sicherstellen mußt, daß das Licht am Ende dieses Tunnels dann auch das Tunnelende war und nicht der Güterzug.
 
@RalphS: Ich möchte noch einen Punkt hinzufügen, die Misere mit HTTPS fing, meiner Meinung nach, damit an, dass sämtliche Seiten mit irgendeiner Art von Login, oder auch Seiten ohne jegliches Login, meinten HTTPS wäre eine ganz tolle Sache, am besten noch mit irgendeinem Zertifikat wo der IE eine Warnung anzeigt, Chrome und Firefox vielleicht nicht, und diese Webseiten eben nicht ausschließlich nur Online-Banking, das Login bei Amazon, den EMail Account u.Ä. war, sondern eben auch https://www.Franz-seine-neue-Homepage.de
Bei einer ausreichende großen Zahl an Warnungen, und das könnte auch bei Chrome und das mit den Passwörtern der Fall sein, wird von vielen die Meldung selber ignoriert. Selbst das wenige was HTTPS so an Sicherheit bietet, siehe z.B. das was JanKrohn geschrieben hat, wird damit auch noch hinfällig, da eben Vielen diese Warnungen einfach egal sein werden.
Selbst Facebook, Wikipedia usw. funktionierten auch mal ohne HTTPS, bzw. das war dann später optional und erst viel später Pflicht. Gerade bei Facebook und Wikipedia war es dann aber so, dass ein Klick irgendwo drauf eine HTTPS Warnung erzeugte. Wobei ich hier mal gerne Zahlenwerte hätte, wie viele Anmeldungen von "nicht Berechtigten" es bei Facebook und Wikipedia vor und nach HTTPS gab, es würde mich nicht besonders wundern, wenn die Zahlen sich gar nicht wesentlich geändert haben.
 
@Lastwebpage: SSL ist halt immer dann interessant, wenn ich wissen will (oder muß) daß mein Gegenüber derjenige ist wo er sagt daß er das ist.

Für franz-seine-neue-homepage.mumpitz ist das natürlich Mumpitz. Für ANBIETER, oder Vertragspartner (potentiell oder nicht) aber ebenso natürlich nicht, da muß ich feststellen *können daß mein-isp.de auch wirklich meinem ISP gehört, oder daß meine-bank.de tatsächlich meine Bank war und nicht irgendson Amerikaner mit unlauteren Absichten.

Daß das verschlüsselt ist Nebensache. Erforderlich, ja. Aber Nebensache.
 
@RalphS: Nein, es ist nicht Nebensache. Es ist eine der beiden wesentlichen Komponenten von SSL. Wenn ich mich in einem oeffentlichen Netz bewege, ist es absolut essentiell, dass, wenn ich auf Facebook gehe, nicht JEDER andere Nutzer des Netzes meine Logindaten erfaehrt (die vielleicht fuer das mylittleponyforum.de und Amazon.de auch noch uebereinstimmen...). Ebenso essentiell ist es, dass ich meine Logindaten auch wirklich auf Facebook eingebe, und nicht auf einer nachgebauten Fake-Seite auf einem russischen Server, der es irgendwie geschafft hat, meine Hosts-Datei zu manipulieren.

Aber es ist zugegebenermassen zu leicht, die Browser-Warnungen zu ignorieren. Pro Fall sollte man dazu mindestens 5 Klicks benoetigen, ohne Option es komplett auszuschalten. Dann ueberlegt Franz es sich sicherlich noch einmal, ob er entweder SSL ganz wegmacht, oder es vernuenftig konfiguriert.
 
@JanKrohn: Es ist ja nicht so, als ob ich Dir da widersprechen würde. :)

Nur: Sicherheitswarnungen vom Browser sind solange wertlos, wie da jemand-der-nicht-ich-ist (oder sonst jemand Vertrauenswürdiges) am Zertifikatsspeicher herumpatchen kann.

Es obliegt einfach jedem Benutzer, entweder händisch oder ggf per vertrauenswürdiger Drittanbietersoftware, Zertifikate zu prüfen und insbesondere dafür zu sorgen, daß eben NICHT irgendjemand an der Basis - lies, dem Zertifikatsspeicher -- herumpfuschen kann.

Oder anders formuliert, wenn es da ein Schlüsselbrett an der Wand gibt, dann will ich auch nicht haben, daß das von Fremden unbemerkt immer mal ausgetauscht werden kann.

PS, die Verschlüsselung ist schon 'Nebensache', also dahingehend, daß sie Mittel zum Zweck ist. Also nicht Nebensache wie 'unwichtig', sondern eher Nebensache wie 'die Verschlüsselung ist dazu da, um den (virtuellen) Hinterzimmerdeal auch im Hinterzimmer zu behalten, oder anders gesagt, damit man jederzeit weiß, daß der Gegenüber im besagten HZ nicht von wem anders ersetzt wurde UND daß unser Austausch privat bleibt.

(Was den Kreis schließt. Analog: ich geh doch nicht mit jemandem in ein Hinterzimmer wenn ich den nicht kenne und nicht weiß ob der mir vielleicht Böses will.)
 
@RalphS: Und genau das ist das Problem. Die einzige Identifizierung, die stattfindet, ist die des Servers. Du weißt also, dass deine Daten von mein-isp.de entschlüsselt werden, aber es wird nirgends überprüft, ob der Domain/Server-Besitzer auch der ist, der er sein soll.

Und so denken leider viele: "oh https, da bin ich ja sicher vor Spam und Phishing", was aber absolut nicht der Fall ist.
 
Der Ansatz ist auf jeden Fall sinnvoller als die http/2-Unterstützung an TLS zu koppeln.
Kommentar abgeben Netiquette beachten!