17.06.2011 17:30
Google macht Schluss mit unsicheren Inhalten auf sicheren Seiten
Nutzt eine verschlüsselte Seite Objekte, die unverschlüsselt übertragen wurden, streicht Chrome derzeit das HTTPS in der Adresszeile durch...
Bild: Google
Google hat angekündigt, dass Chrome künftig auf HTTPS-Seiten keine Scripte, CSS-Dateien und Plugins mehr ausführen soll, die unverschlüsselt übertragen wurden. Beim sogenannten Mixed Scripting besteht die Gefahr, dass durch durch einen Man-in-the-middle-Angriff ein unverschlüsselt übertragenes Objekt manipuliert und dadurch auch die verschlüsselt übertragene Seite manipuliert oder ausgelesen werden kann. Aus diesem Grund warnen Web-Browser ihren Anwender in einem solchem Fall. Chrome etwa signalisiert dies durch ein durchgestrichenes HTTPS-Symbol in der Adresszeile, Firefox öffnet eine Warnmeldung, die der Anwender wegklicken muss.
....künftig werden die unsicheren Objekte zunächst blockiert.
Bild: Google
In Zukunft will Google noch einen Schritt weiter gehen und die unsicheren Objekte ab Chromium-Version 14, auf der auch Chrome 14 basieren wird, zunächst erst einmal gänzlich blockieren. Ausgenommen hiervon sind Bilder, iFrames und Schriftarten, da ein Angreifer hierüber lediglich das Erscheinungsbild einer Seite verändern kann. Blockt der Browser ein unverschlüsselt übertragenes Script, wird der Nutzer durch eine gelbe Informationsleiste unterhalb der Adressleiste informiert. Hier kann sich der Nutzer auch dieser Vorsichtsmaßnahme widersetzen und einen Reload der Seite einschließlich der unsicheren Inhalte anstoßen.
Die aktuelle Entwicklerversion 13.0.782.10 liefert mit dem Startparameter --no-running-insecure-content einen Vorgeschmack auf die neue Schutzfunktion. Mit dem Parameter --no-displaying-insecure-content kann man auch noch die Darstellung der weniger gefährlichen Bilder, iFrames und Schriftarten unterbinden – standardmäßig aktivieren will Google diese Option allerdings nicht. Mit Chromium 14 will Google den Parameter --allow-running-insecure-content einführen, der dafür sorgt, dass der Browser wie gewohnt mit den unsicheren Objekten umgeht.
(rei)
Ein Einstieg in die Analyse des Blackberry Z10 und des neuen Blackberry OS. 
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
