News-Meldung vom 17.06.2011 17:30
Nutzt eine verschlüsselte Seite Objekte, die unverschlüsselt übertragen wurden, streicht Chrome derzeit das HTTPS in der Adresszeile durch...
Bild: Google
Google hat angekündigt, dass Chrome künftig auf HTTPS-Seiten keine Scripte, CSS-Dateien und Plugins mehr ausführen soll, die unverschlüsselt übertragen wurden. Beim sogenannten Mixed Scripting besteht die Gefahr, dass durch durch einen Man-in-the-middle-Angriff ein unverschlüsselt übertragenes Objekt manipuliert und dadurch auch die verschlüsselt übertragene Seite manipuliert oder ausgelesen werden kann. Aus diesem Grund warnen Web-Browser ihren Anwender in einem solchem Fall. Chrome etwa signalisiert dies durch ein durchgestrichenes HTTPS-Symbol in der Adresszeile, Firefox öffnet eine Warnmeldung, die der Anwender wegklicken muss.
....künftig werden die unsicheren Objekte zunächst blockiert.
Bild: Google
In Zukunft will Google noch einen Schritt weiter gehen und die unsicheren Objekte ab Chromium-Version 14, auf der auch Chrome 14 basieren wird, zunächst erst einmal gänzlich blockieren. Ausgenommen hiervon sind Bilder, iFrames und Schriftarten, da ein Angreifer hierüber lediglich das Erscheinungsbild einer Seite verändern kann. Blockt der Browser ein unverschlüsselt übertragenes Script, wird der Nutzer durch eine gelbe Informationsleiste unterhalb der Adressleiste informiert. Hier kann sich der Nutzer auch dieser Vorsichtsmaßnahme widersetzen und einen Reload der Seite einschließlich der unsicheren Inhalte anstoßen.
Die aktuelle Entwicklerversion 13.0.782.10 liefert mit dem Startparameter --no-running-insecure-content einen Vorgeschmack auf die neue Schutzfunktion. Mit dem Parameter --no-displaying-insecure-content kann man auch noch die Darstellung der weniger gefährlichen Bilder, iFrames und Schriftarten unterbinden – standardmäßig aktivieren will Google diese Option allerdings nicht. Mit Chromium 14 will Google den Parameter --allow-running-insecure-content einführen, der dafür sorgt, dass der Browser wie gewohnt mit den unsicheren Objekten umgeht.
(rei)
English Version: Google hardens Chrome 13 and 14
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-1262684
Kein Themen-Forum
Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. 
Bei einem Hackerangriff auf die FTP-Server des Groupware-Anbieters haben Unbekannte eine Backdoor in einige Installationspakete eingebaut. Der Angriff blieb vier Monate unbemerkt. 
