Chrome warnt jetzt vor allen per HTTP übertragenen Webseiten

Google hat in seinem Chrome jetzt den bereits angekündigten Schritt vollzogen und warnt alle Nutzer vor dem Besuch von Webseiten, die nicht komplett verschlüsselt übertragen werden. Anbieter von Angeboten, die ihre Inhalte einfach auch über HTTP ... mehr... Web, HTTP, WWW Bildquelle: Rock1997 (GFDL) Web, HTTP, WWW Web, HTTP, WWW Rock1997 (GFDL)

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
WF wird mir auch als "nicht sicher" angezeigt :-)
 
Ja, dann geht mal mit gutem Beispiel voran .. anstatt nur darüber zu schreiben.
 
@tripe_down: Das ist alles in Arbeit, geht aber auch nur Schritt für Schritt. Die Umstellung ist keine triviale Sache und wir sind eben auch keine große Firma mit entsprechenden Ressourcen. Daher wird alles nach Wichtigkeit abgearbeitet: Wo Nutzerdaten übertragen werden, ist schon lange alles verschlüsselt. Die Mobile-Seite ist auch komplett fertig. Jetzt fehlt nur noch die Desktop-Version, was aber auch schon in der Mache ist.
 
@ckahle: Vielleicht habt ihr einfach zu viele Drittanbietermüll implementiert und daher einige Firmen im Boot, die nicht auf https setzen und somit auf Datenschutz all jener pfeifen, die ihnen die gut zu vermarktenden Daten liefern. Da würde bei mir als Seitenbetreiber aber das Denken anfangen und ich würde extrem ausmisten.
 
@Rikibu: Das wird das Problem sein. Denn auf https umzustellen ist in der Regel nicht sehr aufwendig.
 
@ckahle: Naja, hab selbst schon zig Webseiten auf SSL umgestellt, auch mit zig tausenden Posts und Bildern. Das ist ne Sache von paar Minuten, irgendwer wird sich ja wohl mit der Datenbank auskennen.
 
@ckahle: Wie ich euch beim letzten mal schon ausdrücklich erklärt habe, werden Nutzerdaten keineswegs verschlüsselt übertragen. Nutzername und Passwort in unsicher konfigurierten Cookies zu speichern, ist eine blöde Idee...
 
@max06.net: dazu ist das login formular auch nicht sicher (ironischerweise die registrierung schon. dazu gibt es ja HTTPS auf WF, nur eben leitet das auf HTTP weiter.

dazu ist es auch sehr schmerzhaft das gehashte Passwort (Bcrypt Level 8, also 4-8x weniger als aktuell normal [10-11, jedes level verdoppelt den rechenbedarf]) in den cookie zu werfen, das ist doch müll.
 
@My1: Vor allem die Cookies nicht als Secure und HttpOnly zu markieren... das erlaubt jedem drittanbieter-script den Zugriff...
 
@max06.net: true enough wobei HTTP Only könnte allein schon deswegen schwer werden, dass die commensection über JS läuft.
 
@My1: Irrelevant. Ein XHR-Request oder gar ein normaler Requests nutzt die Browser-Komponenten für den Datenaustausch, da werden Cookies vom Browser aus injected. JS selbst hat dann aber immer noch keinen Zugriff darauf.
 
@max06.net: okay das hängt natürlich immer davon ab wie man es genau implementiert, aber klar wenn man es so macht isses machbar.
 
Ist ja auch unbedingt notwendig bei Seiten wo man nichts eingibt...
 
@Paradise: Klar, muss ja nicht jeder wissen, auf welcher genauen URL du warst. Mit SSL ist für den Provider nur die Domain sichtbar.
 
Das https wird überbewertet. Denn die ganzen Pishingseitenhaben das mittlerweile auch.
Also an https erkennt man mit Sicherheit nicht wie sicher die Seite tatsächlich ist.
Schönes Placebo halt.
 
@LastFrontier: es geht auch nicht darum, ob die Seite sicher ist, sondern ob die Übertragung sicher ist.
 
@Rumpelzahn: Solange ich keine sichertheitsrelevanten Daten eingeben muss, brauchts auch kein https. Von daher ist dies Warnung fürn A....h.
 
@LastFrontier: für Seiten ohne sicherheitsrelevanter Daten wird es auch kein Phishing geben ...
 
@Rumpelzahn: Das Problem liegt eher bei Mails "sie haben gewonnen", "ihre Zahlung konnte nicht gebucht werden", "rette mein Vermögen aus Nigeria" etc.
Die leiten nämlich auf eigene https-Seiten mit gefakten Zertifikaten. NUr weil https oben in der Leiste steht, heisst das nicht dass man auch tatsächlich auf der sicheren Seite steht.
Dieser Eindruck wird aber durch Google und andere ans "einfache" Volk übermittelt.
 
@LastFrontier: "Die Verbindung zu dieser Website ist nicht Sicher" steht bei Chrome beim Klick auf das Info-Icon. Da steht nicht, diese Website ist nicht sicher.
Du hast nicht verstanden, was diese Meldung/HTTPS aussagen soll.
 
@LastFrontier: Korrekt. Solange man sich nicht genau die URL und das Zertifikat anschaut, sagt https noch nichts aus.
 
@Rumpelzahn: Ob die Verbindung oder die Seite Sicher ist, ist einfach wumpe egal.
 
@LastFrontier: die certs sind garantiert nicht gefakt denn das geht in 99,9% aller fälle nicht., die haben sich aber halt spaßige domains besorgt, und können damit DV certs holen.

das einzige was https sagt ist dass du zu hunder prozent auf der seite bist die in der adressleiste steht, keiner diese manipuliert hat, und kein anderer als der in der Adressleiste mithören kann.
 
@My1: Im digitalen ist nichts 100%. Und https schon gar nicht.
Auch im DarkNet wird https verwendet.
Ich setze dir jederzeit eine Viren-/Malwareschleuder mit https auf. Und nun?
 
@LastFrontier: du kannst per HTTPS gerne ne malwareschleuder aufsetzen. niemand hat gesagt dass das nicht geht. Du erwähntest sehr speziell gefäschte Zertifikate. DIe Zertifikate die die dienste haben sind aber idr nicht gefälscht sondern echte certs die komplett legitim auf eine passende domain ausgestellt worden die halt entsprechend aussieht.

NIRGENDWO in den specs des CAB Forums steht etwas davon dass eine seite mit HTTPS gutwillig, legitim etc ist. im gegenteil, das ist selbst bei den so super sicher geschimpften EV certs EXPLIZIT ausgeschlossen.

Egal was einem die CAs vorlabern, ein Cert sagt erstmal nur dass der mit dem Key der ist der im cert steht (solange der keyinhaber nicht geschlampt hat)
 
@LastFrontier: ganz so ist es nicht... du kannst schon ableiten, ob das Zertifikat welches die Sicherheit repräsentiert, von einer sicheren Quelle ist, wer der Aussteller ist. im Falle von phishing werden ja sicher zertifikate gekapert. Natürlich hast du nicht ganz Unrecht, dass das am Ende nur ein Geschäft für die Zertifizierungsstellen ist. Dann macht der Phisher eben seine eigene Zertifizierungsstelle auf und signiert Wildwuchs...
 
@Rikibu: "Dann macht der Phisher eben seine eigene Zertifizierungsstelle auf und signiert Wildwuchs..."

Gefällt mir ;-) - weil du den Nagel auf den Kopf getroffen hast.
 
@LastFrontier: Jedes Zertifikat muss von einem vertrauenswürdigen Root-Zertifikat abgeleitet werden. Diese Root-Zertifikate sind im Browser hinterlegt und können nicht von aussen einfach erweitert werden.
"Dann macht der Phisher eben seine eigene Zertifizierungsstelle auf " ist nicht so einfach, das macht das Zertifikat im Browser noch nicht vertrauenswürdig.
 
@Rikibu: Was bringt eine eigene Zertifizierungsstelle, wenn die Browser sie nicht als vertrauenswürdig implementieren? Dann hat die Seite zwar https, der Browser gibt aber vor dem Besuch per Vorschaltseite eine noch eindringlichere Warnung aus, dass das Zertifikat nicht vertrauenswürdig ist. Die Option, um die Seite dennoch zu besuchen, ist mit der Zeit auch immer weiter versteckt worden.
 
@Rikibu: "Dann macht der Phisher eben seine eigene Zertifizierungsstelle auf und signiert Wildwuchs..."

Das setzt aber voraus, dass dein Browser die ausstellende CA kennt und ihr vertraut. Genau daran scheitern "eigene" CAs nämlich. D.h. Chrome und Co würden die Seite gar nicht erst öffnen aufgrund eines Zertifikats-Fehlers und dieses Verhalten ist noch nicht einmal neu.
 
@Nickel: hat es tatsächlich noch keiner geschafft, in einem zertifikat eine bekannte Vermittlungsstelle als aussteller zu fälschen?
 
@Rikibu: Muss man denke ich auch gar nicht wenn ich das hier richtig verstehe: https://www.grc.com/fingerprints.htm
 
@Paradise: Das was du da schickst ist ein klassicher Man-in-the-middle oder auf legal kommunizierten Weg so gen. Deep Inspection mithilfe einer Fake-CA (bzw. im Enterprise-Segment sogar durchaus gängigen Enterprise-CA) die zuvor installiert werden muss. D.h. du brauchst auch entsprechenden Zugriff auf dem zu manipulierenden System.
 
@LastFrontier: Eben: https://www.grc.com/fingerprints.htm

"Secure browser connections can be intercepted and decrypted by authorities who spoof the authentic site's certificate. But the authentic site's fingerprint CANNOT be duplicated!"

Darum frag ich mich warum es bis heute kein Add-on gibt das Automatisch den Fingerabdruck prüft.
 
@LastFrontier: Die Pishing-Seiten kriegen aber kein HTTPS-Zertifikat für die Seite, die sie vorgeben zu sein, sondern für ihre eigene Domain. Du kannst zum Beispiel keinen bösartigen Hotspot aufstellen, der dir unscheinbare Domain-Namen anzeigt, die auf falsche Seiten führen und dabei alles mit einem HTTPS-Schloss versieht.
 
Mir fällt gerade auf, dass bei Edge Seiten ohne https mit einem Ausrufezeichen gekennzeichnet werden. Klickt man da drauf, wir einem ein Info-Fenster eingeblendet. Bei https-Seiten wird ein Schlösschen eingeblendet.
 
@jackattack: Das ist nun absolutes Standardverhalten von Browsern.
Neu beim Chrome ist eigentlich nur, dass neben dem Kreis noch "Nicht sicher" steht und dass in der nächsten Stufe (Chrome 70) aus grauem Kreis und Schriftzug ein rotes Dreieck mit rotem Schriftzug wird.
 
Der letzte Absatz verharmlost die Thematik ziemlich, denn das lokale Netz des Nutzers kann durchaus der Hotspot eines lokalen Verkehrsbetrieb oder etwas ähnlich unscheinbares sein. Was den Resourcenbedarf betrifft, gibt es die bekannte Anekdote, dass bei der kompletten Umstellung von Gmail auf HTTPS keine zusätzlichen Maschinen nötig waren und der SSL-Traffic nichtmal 1% der CPU-Auslastung ausmachte.
 
Spätestens seit dem DSGVO ist es eh ein Muss für Webseitenbetreiber.
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Bluetooth Kopfhörer?Kabellos Noise Cancelling In Ear Ohrhörer Wireless Bluetooth 5.0 Headset Smart LCD Digitalanzeige Sport Kopfhörer mit Ladehülle 2200mAh Batterie und mit Mikrofon 130H PlaytimeBluetooth Kopfhörer?Kabellos Noise Cancelling In Ear Ohrhörer Wireless Bluetooth 5.0 Headset Smart LCD Digitalanzeige Sport Kopfhörer mit Ladehülle 2200mAh Batterie und mit Mikrofon 130H Playtime
Original Amazon-Preis
29,99
Im Preisvergleich ab
?
Blitzangebot-Preis
20,00
Ersparnis zu Amazon 33% oder 9,99

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte