1. #1
    Chefredakteur
    Dabei seit
    Mär 2001
    Ort
    Berlin
    Beiträge
    4.106

    Post Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Ab Juli 2018 wird der Browser Google Chrome HTTP-Websites ohne HTTPS-Unterstützung noch stärker als bisher als unsicher deklarieren, um den Wechsel zu verschlüsselten Verbindungen durch die Betreiber weiter zu forcieren. Dieser Schritt ist allerdings nicht neu und bereits seit Jahren der von Google für Chrome aufgezeigte Weg.

    Zur News: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert
    Gruß
    Frank

  2. Anzeige
    Logge dich ein, um diese Anzeige nicht zu sehen.
  3. #2
    Fleet Admiral
    Dabei seit
    Feb 2007
    Ort
    bei Tübingen
    Beiträge
    18.237

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Bei mir läuft jede Seite eh auf http2, mit let'sencrypt ja wirklich ein Leichtes auf auf ssl umzusteigen.
    Workstation: Intel i9-7980XE @ 18x4,80Ghz @1,32V (4,6Ghz daily)|32GB DDR4 4000 CL16|ASRock X299 i9 Prof.GTX 980 TI SLI@ 1500/2000|1TB 960 Pro M2+2TB Evo|10GbE| Thermochill PA120.3|TFC 120er|XFPC 240er|Cape Cora Ultra 8x|Aquaero 5|Lian Li A7110B|Seasonic Platinum 1kw|40" 4K Philips[/URL]
    Server: Supermicro X10SDV-4C-7TP4F|64GB DDR4 ECC|6x4TB R5|2|3x256GB SSD|Win Server 2012 R2|LSI9260 8i|10Gbe


  4. #3
    Lt. Junior Grade
    Dabei seit
    Okt 2015
    Ort
    Hamburg
    Beiträge
    500

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Sehr gute Entscheidung seitens Google. Ich hoffe andere Browser Entwickler ziehen bald nach. TLS ist heute einfach ein Muss!

  5. #4
    Lt. Commander
    Dabei seit
    Jan 2004
    Ort
    St. Pölten
    Beiträge
    1.641

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Toll dann ist jede normale Homepage bald SSL verschlüsselt und es ist für Firewallsysteme so gut wie unmöglich noch irgendwas zu filtern. Für Onlinebanking, Paypal etc. hat https ja seine Berechtigung, für die normale Homepage ist das jedoch ziemlicher Unfug.

  6. #5
    Captain
    Dabei seit
    Mai 2010
    Beiträge
    3.089

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Tja. Dann ist das so.
    Auch Messenger Kommunikation wird zunehmend verschlüsselt, auch wenn es nur um die Mensa Verabredung geht
    Es gibt keine dummen Fragen, nur dumme Menschen

    Linux ist wie ein schwer erziehbares Kind:
    Egal wie viele Chancen du ihm gibst, es verkackt es jedes mal

  7. #6
    Lieutenant
    Dabei seit
    Sep 2016
    Beiträge
    747

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Kenne da noch einige Provider die ihre Kundenlogins ohne SSL anbieten... und wenn man mal die logindaten hat, kann man die ganze homepage und mailverkehr lahmlegen. rip

  8. #7
    Lt. Commander
    Dabei seit
    Apr 2008
    Ort
    Landshut
    Beiträge
    1.888

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    @andr_gin: Doch doch das geht schon noch, dank Deep Packet Inspection alles kein Problem.
    Have a N.I.C.E. day!
    Real programmers don't comment their code - it was hard to write, it should be hard to understand.
    Heimkino / Hardware

  9. #8
    Ensign
    Dabei seit
    Aug 2014
    Beiträge
    141

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Moderne Firwalls decrypten das und gucken dann rein, die sichere Verbindung wird zwischen Firwall und Server aufgebaut.

  10. #9
    Commander
    Dabei seit
    Sep 2016
    Beiträge
    2.618

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    na ist doch gut ... die MassenDAUs denken dann das sie damit sicher sind ... obwohl längst nachgewiesen ist das SSL nix gegen Viren und Malware hilft ...und gehackte Seiten auch nicht daran hintern tut diese fleißig unters Volk zu bringen ... kriegste praktisch Viren mit Zertifikat

    Nimmt man dann noch solche verbrecherischen CAs wie Symantec dazu ... wird es erst richtig zum Schildbürger Streich! Aber Hauptsache HTTPS gesichert ... und der Mob klatscht Beifall.
    Geändert von owned_you (09.02.2018 um 17:12 Uhr)
    ______________________________________
    Sic semper tyrannis
    One Shot, One Kill, Ready to Die but Never Will!!!

  11. #10
    Lt. Junior Grade
    Dabei seit
    Nov 2017
    Beiträge
    354

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Dem durchschnittlichen Nutzer wird das aber nicht auffallen...

  12. #11
    Ensign
    Dabei seit
    Mai 2012
    Ort
    Berlin
    Beiträge
    208

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Zitat Zitat von Overkee Beitrag anzeigen
    Sehr gute Entscheidung seitens Google. Ich hoffe andere Browser Entwickler ziehen bald nach. TLS ist heute einfach ein Muss!
    Weil... Wenn ich nur Static-Content ausliefere (die meisten Firmen-Webseiten (abseits von Foren/Formularen), redaktioneller Inhalt ohne Kommentarfunktion etc.), verlangsamt die Herstellung der Verschlüsselung nur den Seitenaufbau.

    Abgesehen davon will ich gar nicht wissen wie viel Energie verschwendet wird, um abermilliarden von Seiten + Assets zu ver- und entschlüsseln, bei denen das komplett unnütz ist. Klar reden wir hier wsl. über 0,x% vom Stromverbrauch des gesamten Internets. Aber in Summe kommt da trotzdem einiges zusammen.
    Geändert von N1truX (09.02.2018 um 17:13 Uhr)

  13. #12
    Lt. Commander
    Dabei seit
    Okt 2007
    Beiträge
    1.384

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Dann nutzt du einfach ein modernes(*) System und dann lieferst du deinen Content via https schneller aus als via http.
    Gibt ja so einige nette Optimierungen dahingehend.

    Achja: Und falls dein Static-Content via Werbung finanziert wird, wäre es doch schön, wenn niemand die Werbung austauscht - oder die Meinung, die jemand in seinem Blog vertritt.
    "Die Updatepolitik von Mozilla gefällt mir nicht, ich wechsle zu Google"
    Wo ist eigendlich der Unterschied zwischen 10.3.1 und 48.0.1?

  14. #13
    Lt. Junior Grade
    Dabei seit
    Feb 2012
    Beiträge
    421

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Endlich.
    Es ist der logische Schritt von Google, jetzt wo Let's Encrypt so ein großer Erfolg ist und jeder kostenlos Zertifikate bekommen kann. Auch die Installation ist komplett automatisiert.

    Mit https wird auch http2 in den Vordergrund rücken und das alte http endlich in den wohlverdienten Ruhestand lassen.

  15. #14
    Ensign
    Dabei seit
    Mai 2012
    Ort
    Berlin
    Beiträge
    208

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Zitat Zitat von Der-Orden-Xar Beitrag anzeigen
    Dann nutzt du einfach ein modernes(*) System und dann lieferst du deinen Content via https schneller aus als via http.
    Und wie? HTTP/2 wird von den Browser-Anbietern künstlich auf https-Verbindungen beschränkt. Ich werde also gezwungen den Seitenaufbau zu verlangsamen (https) um ihn beschleunigen zu können (HTTP/2).

    Zitat Zitat von Der-Orden-Xar Beitrag anzeigen
    Achja: Und falls dein Static-Content via Werbung finanziert wird, wäre es doch schön, wenn niemand die Werbung austauscht - oder die Meinung, die jemand in seinem Blog vertritt.
    Und was hat das mit TLS-Verschlüsselung zu tun? Wenn ich Werbung und/oder Inhalte austauschen will, greife ich den Server und nicht einzelne Verbindungen an.

    Bei TLS geht es primär darum, dass niemand mitlesen kann. Den Datenstrom abzufangen und zu verändern... Das geht schon deutlich über Script-Kiddie-Niveau hinaus. Mal abgesehen davon schützt auch https nicht grundlegend vor Man-In-The-Middle-Attacken (siehe HTTPS Inspection).
    Geändert von N1truX (09.02.2018 um 17:54 Uhr)

  16. #15
    Vice Admiral
    Dabei seit
    Nov 2007
    Beiträge
    6.650

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    HTTPS nutzt eine zwischen Browser und Server Ende zu Ende verschlüsselte Kommunikation, so dass die Daten nicht durch weitere Teilnehmer des Netzwerks mitgelesen werden können.
    Also kann nicht mal Google als dritte Person die Daten mitlesen?
    Stichwort: "google analytics"

    Oder der Staat oder andere Behörden?
    Stichwort: "NSA"
    Computer: (i7-8700k, GTX 1080 Ti, 16 GB RAM, 1TB SSD)
    Notebook: ASUS G751JY-T7009H (i7-4710HQ, GTX 980M, 24 GB RAM, SSD)
    Monitore: LG OLED 65B7D + Samsung 305T Plus + ASUS VG278H

  17. #16
    Ensign
    Dabei seit
    Mai 2012
    Ort
    Berlin
    Beiträge
    208

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Zitat Zitat von Highspeed Opi Beitrag anzeigen
    Also kann nicht mal Google als dritte Person die Daten mitlesen?
    Stichwort: "google analytics"
    Google Analytics arbeitet als Script auf deinem PC (Browser), nicht irgendwo tief versteckt im Netz HTTPS ja oder nein spielt folglich keine Rolle.

    Zitat Zitat von Highspeed Opi Beitrag anzeigen
    Oder der Staat oder andere Behörden?
    Stichwort: "NSA"
    Unmöglich ist nichts. Mit genug Rechenleistung und/oder Zugriff aufs Zertifikat kommt man schon an die Daten. Für eine echte "Massenüberwachung" ist TLS/SSL aber in der Tat eine Hürde.

  18. #17
    Lieutenant
    Dabei seit
    Apr 2012
    Ort
    Bad Gateway
    Beiträge
    570

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Zitat Zitat von N1truX Beitrag anzeigen
    Weil... Wenn ich nur Static-Content ausliefere (die meisten Firmen-Webseiten (abseits von Foren/Formularen), redaktioneller Inhalt ohne Kommentarfunktion etc.), verlangsamt die Herstellung der Verschlüsselung nur den Seitenaufbau.
    MITM-Angriffe sind bei Statischem Content also kein Problem?
    Ohne Verschlüsselung kann ein übertragener Inhalt nicht verifiziert werden. Und dem Computer ist es egal ob man es "statisch" nennt oder nicht.

  19. #18
    Lt. Commander
    Dabei seit
    Okt 2007
    Beiträge
    1.384

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Zitat Zitat von N1truX Beitrag anzeigen
    Und wie? HTTP/2 wird von den Browser-Anbietern künstlich auf https-Verbindungen beschränkt. Ich werde also gezwungen den Seitenaufbau zu verlangsamen (https) um ihn beschleunigen zu können (HTTP/2).
    Wie stark verlangsamt denn https?
    Jeder halbwegs aktuelle Server sollte AES-NI besitzen, Desktop-Clients ebenso.
    Mozilla hat vor kurzem einen Teil von NSS (das auch Google mitbenutzt) optimiert, damit - insbesondere wen AES-NI fehlt - die Performance von AES im GCM-Mode (was als das einzige wahre derzeit gilt) verbessert.
    Ich behaupte, du könntest gefühlt keinen Unterschied zwischen http und https feststellen.

    Und was hat das mit TLS-Verschlüsselung zu tun? Wenn ich Werbung und/oder Inhalte austauschen will, greife ich den Server und nicht einzelne Verbindungen an.
    Außer du bist ein ISP (so geschehen vor ein paar Jahren in den USA) und schiebst einfach in jede Verbindung deiner Kunden Werbung, an denen du und nicht der Webseitenbetreiber verdient.
    Und was das mit TLS zu tun hast, beantwortest du dir selbst: TLS dient ua der Integrität der übertragenen Daten.
    "Die Updatepolitik von Mozilla gefällt mir nicht, ich wechsle zu Google"
    Wo ist eigendlich der Unterschied zwischen 10.3.1 und 48.0.1?

  20. #19
    Ensign
    Dabei seit
    Mai 2012
    Ort
    Berlin
    Beiträge
    208

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Zitat Zitat von T0a5tbr0t Beitrag anzeigen
    MITM-Angriffe sind bei Statischem Content also kein Problem?
    Wie ich oben bereits schrieben sind 1.) MITM-Angriffe auch mit HTTPS möglich und 2.) generell sehr aufwändig.

    Oder um es so zu sagen: Da, wo sich der enorme Aufwand für eine MITM-Attacke lohnt, ist TLS nur ein Hindernis von vielen - aber kein Schutz. Wenn ich Content oder Werbebanner auf Webseiten austauschen will, suche ich mit Bots nach veralteten Wordpress, vBulletin o.ä. Installationen und nutze die bekannten Schwachstellen aus. So schon oft vorgekommen, vor allem in Foren.

    MITM-Angriffe setzen hingegen ein Zugang zum Client (Einrichtung eines Proxy) oder physikalischem Zugang zum Netz voraus (also z.B. der Hotspot im nächsten Starbucks).

    Zitat Zitat von Der-Orden-Xar Beitrag anzeigen
    Wie stark verlangsamt denn https?
    Das kann dir jeder Browser mit Entwickler-Tools sagen. Die eigentliche Ver- und Entschlüsselung ist zu vernachlässigen (da dauert das Rendering länger). Problematisch ist vor allem der Handshake zu Beginn, vor allem auf Mobilgeräten sowie generell mit hohem Ping.

    Und Du hast meine Frage nicht beantwortet: Wie kann ich mit https-Featuren Geschwindigkeit wieder herausholen? HTTP/2 ist nicht https-exklusiv - leider nur die Implementierung in den meisten Browsern. Und genau die kritisiere ich ja.

    Zitat Zitat von Der-Orden-Xar Beitrag anzeigen
    Außer du bist ein ISP (so geschehen vor ein paar Jahren in den USA) und schiebst einfach in jede Verbindung deiner Kunden Werbung, an denen du und nicht der Webseitenbetreiber verdient.
    Wie bereits erwähnt ist in dem Fall auch HTTPS kein Hindernis (siehe Wikipedia). Wenn ich zwischen Client und Server bin, muss ich mich "nur" beim TLS-Handshake dazwischenklinken (siehe z.B. SSLsplit). Der Client handelt mit dem Punkt in der Mitte eine HTTPS-Verbindung aus, der Server ebenfalls. Beide Seiten sehen eine verschlüsselte Verbindung mit einem gleichbleibenden Partner und validen Zertifikaten.
    Geändert von N1truX (09.02.2018 um 18:50 Uhr)

  21. #20
    Lt. Junior Grade
    Dabei seit
    Okt 2015
    Ort
    Hamburg
    Beiträge
    500

    AW: Google Chrome: Alle HTTP-Websites werden künftig als unsicher markiert

    Zitat Zitat von N1truX Beitrag anzeigen
    Weil...
    HTTPS die Authentizität des Webservers und des Inhalts sicherstellt. Du kannst also sicher sein, dass du auch wirklich mit dem Server kommunizierst, mit dem du es auch vorhast und dir niemand den Content möglicherweise manipuliert mit schadhaften Code.
    They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety - Benjamin Franklin (1775)

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Forum-Layout: Feste Breite / Flexible Breite