Google Chrome 68: Was ist sicher und was nicht?

Google Chrome 68: Was ist sicher und was nicht?

Aktuell verteilt Google die Version 68 seines Browsers Chrome auf allen Plattformen und natürlich auch für Windows 10. Die wichtigste Neuerung: Mit Version 68 läuft die Schonfrist für Webseiten ab, die noch nicht auf https umgestellt wurden. Ruft man eine solche Webseite auf, dann wird diese von Chrome in der Adressleiste gut sichtbar als „Nicht sicher“ gekennzeichnet.

Gleichzeitig legt Google eine Statistik vor, die suggerieren soll, dass diese Meldung ohnehin nur einen kleinen Teil der Webseiten betrifft, weil der Großteil bereits verschlüsselt ist. Unter Android seien 76 Prozent des Traffics verschlüsselt, unter ChromeOS 85 Prozent. 83 der 100 größten Internetseiten setzen inzwischen außerdem auf https. Die Angabe des verschlüsselten Traffics in Prozent lässt allerdings keinerlei Rückschlüsse darauf zu, wie groß der absolute Anteil der verschlüsselten Webseiten tatsächlich ist.

Grundsätzlich ist das natürlich eine gute Sache: Überall, wo sensible Daten übertragen werden, sollte https eine absolute Selbstverständlichkeit sein und ist es seit Jahren auch. Bei simplen Info-Seiten, die lediglich der Vermittlung von Informationen dienen, ist https aber rein optional. Es bringt keinen unmittelbaren Mehrwert und verursacht zusätzlichen Aufwand. Ich habe daher eine zwiespältige Meinung zu dieser neuen Kennzeichnung.

Zum Vergleich mal die aktuelle Darstellung in den Browsern Chrome, Edge und Firefox (in genau dieser Reihenfolge).

Darstellung einer unverschlüsselten Webseite in Chrome

Darstellung einer unverschlüsselten Webseite in Edge

Darstellung einer unverschlüsselten Webseite in Firefox

Edge und Firefox zeigen ein Info-Icon. Klickt man es an, wird man davor gewarnt, sensible Daten einzugeben, weil es sich nicht um eine sichere Verbindung handelt. Das ist vollkommen in Ordnung.

Ich habe mit dem „Nicht sicher“ in der Chrome-Adressleiste deshalb so meine Probleme, weil ich fürchte, viele Besucher von harmlosen Seiten könnten die Flucht ergreifen, wenn sie diesen Hinweis sehen, obwohl keinerlei Gefahr besteht. Außerdem besteht das Risiko des Abstumpfens, wenn man diesen Hinweis immer wieder zu sehen bekommt. Die dezentere Darstellung in den anderen Browsern gefällt mir persönlich daher besser.

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare

  1. Soweit ich weiß, soll die Darstellung in Chrome genau das: Benutzer abschrecken und Webseiten-Betreiber unter Druck setzen.
    Ob es was bringt? Ob man abstumpft? Mal sehen.
    Diese Änderung ist totaler Unsinn. Viele kleine Seiten haben nicht einmal ein Suchformular. Warum sollten diese dann HTTPS einsetzen?? Google sollte lieber vor ihrem BS Android warnen das auf den meisten Smartphones niemals auch nur ein Sicherheitspatch erhalten wird.
    @Cerjar: Wieso sollte eine Webseite heutzutage überhaupt noch etwas ohne HTTPS ausliefern? Es gibt eigentlich keinen Grund mehr der gegen eine Verschlüsselung spricht, unabhängig davon was für Daten wohin übertragen werden.
    Etwas dreist finde ich die Bevormundung durch die Browser schon.
    Jetzt sind dann alle lokalen Webserver unsicher?
    Diese Änderung ist totaler Unsinn. Viele kleine Seiten haben nicht einmal ein Suchformular. Warum sollten diese dann HTTPS einsetzen?? Google sollte lieber vor ihrem BS Android warnen das auf den meisten Smartphones niemals auch nur ein Sicherheitspatch erhalten wird.

    Das mit dem Sicherheitspatch relativiert sich durch den WebView Bestandteil von Android, da dieser automatisch auch auf uralt Smartphones (ab Android 4.XX) auf dem neuesten stand gehalten wird.
    Google Play Protektion macht dann denn Rest.
    Probleme gibt es meist nur noch auf gerooteten Android Smartphones mit dem Besitzer wenn er alles ohne nachzudenken installiert und anklickt.
    Webseiten im Jahr 2018 ohne https gehören verboten und denen kann man nur wünschen, dass möglichst alle Besucher die Flucht ergreifen. Die Warnungen sollten noch viel deutlich / drastischer ausfallen.
    DirkL
    Google Play Protektion macht dann denn Rest.
    Play Protect ist Verarschung, weil einfach alte Funktionen, die immer schon im Play Store bzw. Android eingebaut waren, zu einer Sicherheitslösung aufgeblasen wurden. Man wollte halt bei Google nicht nachstehen, als Microsoft den Defender zu einer echten Sicherheitssoftware ausgebaut hat. Dabei ist das nur die Überprüfung der im Play Store angebotenen Apps und die klappt, wie bewiesen wurde, längst nicht immer. Eine echte Wächerkomponente ist nicht enthalten. Wenn schädliche Apps an den Kontrollen des Play Stores vorbei gekommen sind, werden die auch von Play Protect nicht aufgehalten.
    Anständige SSL Zertifikate kosten Geld und nicht jeder ist bereit oder kann dafür Geld ausgeben z.B. Für eine Infoseite... Zudem ist SSL keine Sicherheit nur eine Grundverschlüsslung.
    Was an HTTPS macht z.B. den Wetterbericht sicherer gegenüber HTTP?

    Wenn man zu aufdringlich warnt sollte man aber dazu schreiben, dass https keine Garantie für unschädliche Seiten ist was der DAU daraus womöglich folgert.
    @RicardoSSB: Nein, kosten sie nicht: https://letsencrypt.org/
    @ansorgj: Es erschwert Angriffe auf die Kommunikation und erschwert es, Inhalte zu ändern. Wenn Gewitter/Regen gemeldet ist könnte ich dir einfach sagen, es ist schönes Wetter.
    Siehe dazu auch Man-in-the-Middle-Angriff. Nicht immer geht es nur darum Daten des Benutzers abzufangen. Auch den Benutzer falsche Daten/Informationen zu liefern kann genauso schlimm sein.
    build10240
    Play Protect ist Verarschung, weil einfach alte Funktionen, die immer schon im Play Store bzw. Android eingebaut waren, zu einer Sicherheitslösung aufgeblasen wurden. Man wollte halt bei Google nicht nachstehen, als Microsoft den Defender zu einer echten Sicherheitssoftware ausgebaut hat. Dabei ist das nur die Überprüfung der im Play Store angebotenen Apps und die klappt, wie bewiesen wurde, längst nicht immer. Eine echte Wächerkomponente ist nicht enthalten. Wenn schädliche Apps an den Kontrollen des Play Stores vorbei gekommen sind, werden die auch von Play Protect nicht aufgehalten.

    Das Thema steht bei mir auch an. Gerade hatte ich auf einer Seite aufdringliche Werbung auf dem Handy, mit Umleitung und lauter Stimme, die einen Gewinn vorgaukelt, und als ich unter Rückmeldungen herumsuchte in Chrome, fand ich dazu ein Thema und Google empfiehlt, so etwas wie Malwarebytes zu installieren neben Play Protect.
    Man sollte sich natürlich auch der gefahren im Internet immer bewusst sein, aber ich halte diese Art von Google als die falsche, vor allem wenn es wie bisher so lasch von den Zertifizierungsstellen gehandhabt wird seine Webseite Zertifizieren zu lassen.
    Im Übrige sollte Google sich lieber an die eigene Nase fassen und im eigenen Google Store gründlich aufräumen da laueren mehr gefahren als für den Normal User im Internet.
    Ich werde das gegebener maßen im Google Chrome Browser wieder Deaktivieren, muss ja auch wohl weil ich sonst nicht mehr auf meinen NAS oder Router zugreifen kann.
    Es ist doch nur ein Hinweis bzw Warnung, mehr doch nicht :rolleyes:
    Firefox blendet das schon seit Monaten ein.
    Ich lasse es übrigens anzeigen, weil nützlich. Ein vernünftiger Blocker gehört dennoch immer dazu.
    Viele kleine Hobb-Seiten laufen noch ohne https, entweder aus fehlender Zeit, fehlender Ahnung oder weil schlicht nur Infos dargeboten werden ohne dass man Daten eingeben kann. Für diese Daten ist es schade, wenn hier der Eindruck erzeugt wird, sie seien besonders gefährlich. Selbst viele Seiten von Komunen, Ämtern oder anderen offiz. Stellen laufen ohne https, Hier ist es dan wohl Unkenntnis, Personal- oder Geldmangel. Da hier oft auch Daten eingegeben und übermittelt werden, hat das hier dann tatsächlich eine andere Qualität.
    Ich habe gerade den Eindruck, das einige nicht mehr wissen was das Internet einmal war. Sie kennen es scheinbar nur als Shoppingmeile oder Werbehure.
    Eine gewöhnliche Homepage...... da hat der Inhaber nicht mal eine Chance ein Zert aufzuschalten. Der hat jetzt die Wahl als unsicher, weil kein Zert oder unsicher, weil ungültiges Zert zu gelten. Tolle Wurst. Warum das so ist, könnt ihr selber herausfinden....Mails sichern kann hingegen tatsächlich jeder. Interessiert nur so gut wie gar keinen.
    Mich stört die Warnung nicht, egal von welchem Browser in welcher Formulierung. Habe auch verstanden um was es geht.
    An die Kommentatoren zum Play Store möchte ich einfach mal die Frage richten ob es hier um den Chrome Browser geht, der übrigens selbst unter Android nicht zwangsweise benutzt werden muß oder um was?
    Übrigens auch unter Android gibt es Sicherheitssoftware die Apps vor Installation prüfen, selbstverständlich auch jedes spätere Update.
    Mir sind in letzten Monaten keine von Kommunen, Behörden offiziell betriebenen Seiten untergekommen, die noch nicht umgestellt wurden.
    DrWindows
    Die wichtigste Neuerung: Mit Version 68 läuft die Schonfrist für Webseiten ab, die noch nicht auf https umgestellt wurden. Ruft man eine solche Webseite auf, dann wird diese von Chrome in der Adressleiste gut sichtbar als „Nicht sicher“ gekennzeichnet.

    Ist die Rede von der Version 65 oder so? Dieser nervige Müll ist bereits alter Standard.
    Du gehst jetzt aber nicht wirklich davon aus, dass dies durch https verhindert wird, nur weil MiM erschwert wird?
    Die eigentliche Gefahr geht jedoch immer noch davon aus, was eine Seite auszuliefern vermag. Ob die Verbindung zum Nutzer verschlüsselt ist oder nicht, macht da keinen Unterschied.
    Ich behaupte mal wenn alle domains auf https umgestellt werden haben wir keine IP4 Adressen mehr? 1 x IP = 1 x https ... wäre dann auch ein Problem. Keine Ahnung wie das mit IP6 ist und das schon alle können.
    1 x IP = 1 x https
    Die Gleichung gilt nicht. Der Normalfall ist heute, daß unter einer IP-Adresse tausende Domains - ob mit HTTP oder HTTPS spielt keine Rolle - erreichbar sind. Genauso kann eine Domain unter verschiedenen IP-Adressen erreichbar sein. Gleiches gilt für IPv6. Die Anzahl der Webseiten ist jedenfalls nicht durch die Anzahl der IP-Adressen beschränkt.
    Wie schon richtig gesagt wurde, auf eine Zieladresse können mehrere Angebote gehostet werden.
    Besonders interessant wird es bei Supdomains. In der Vergangenheit häufig über ungültige Zertifikate gestolpert. Das wird jetzt wahrscheinlich noch deutlicher erkennbar sein. Das hat seine Vor- aber auch Nachteile.
    Der Https -Zwang hat auch seine Schattenseiten und es wird sicher auch spürbare "Schäden" geben.
    Da gibt es einmal Hostingangebote die nichts kosten, bei denen der Nutzer aber nicht aufschalten kann. Dann gibt es Angebot, die gegen entsprechendes Entgelt Pakete anbieten, welche der Hoster bereitstellt. Da ist auch nichts mit kostenfrei Zertifikat. 70€+ für Jahre....Und dann gibt es Hostingangebote mit voller Kontrolle oder anders herum, Service kostet extra. Da geht dann zwar alles "billig" aber nicht jeder vermag das wirklich zu stemmen.
    Warum allerdings ein Modellbauer seine Bauberichte verschlüsseln sollte, erschließt sich mir nicht. Solange keine Interaktion erfolgt, kein gewerblicher Charakter besteht....am Ende steht jedoch zu befürchten, dass seine Seite immer mehr Geld kostet, mit Werbung versehen wird und am Ende inhaltlich darunter leiden wird.
    Ich bin grad mit Chromium 71 unterwegs - heute ist hier Browser-Update-Tag (auch Firefox). Da ich SmoothScroll nutze mit gezeigten Einstellungen, war ich verdutzt, dass Chromium ziemlich hart scrollt. Chromium 70 arbeitet einwandfrei.
    Ich weiss nicht, was intern geändert wurde, allerdings konnte ich mit mit chrome://flags weiterhelfen, auch wenn das eher ein Versuchsballon schien mit unbekanntem Ausgang. Im schlechten Fall hätte ich mich damit anfreunden müssen, weil es zu SmoothScroll nur eine einzige Alternative gibt.
    https://chrome.google.com/webstore/detail/smoothscroll/nbokbjkabcmbfdlbddjidfmibcpneigj
    https://chrome.google.com/webstore/detail/chromium-wheel-smooth-scr/khpcanbeojalbkpgpmjpdkjnkfcgfkhb
    Letzteres hatte ich absichtlich ersetzt, irgendwas war da...
    Darüber hinaus musste ich feststellen, dass das Aussehen und Handling des Chrome-Store verändert wurde, ich finde, zum Nachteil.
    Ach ja, chrome://flags
    Smooth Scrolling
    Animate smoothly when scrolling page content. – Windows, Linux, Chrome OS, Android
    #smooth-scrolling
    Und falls interessant für den einen oder anderen:
    Enable lazy image loading
    Defers the loading of images until the page is scrolled down near them. – Mac, Windows, Linux, Chrome OS, Android
    #enable-lazy-image-loading
    Mal austesten, wie sich das verhält bei bildreichen Inhalten.
Nach oben