Login
Newsletter
Werbung

Mi, 9. Oktober 2019, 11:12

Software::Distributionen::Chrome

Google plant für Chrome weitere Einschränkungen bei HTTP-Inhalten

Ab Chrome 79 wird Google weitere Einschränkungen für HTTP-Inhalte ausrollen, die von HTTPS-Seiten nachgeladen werden. Dabei geht es um Medieninhalte wie Bilder, Audio und Video.

Google

Webseiten laden Inhalte aus verschiedenen Quellen, wobei selbst Seiten, die per HTTPS ausgeliefert werden, verschiedene Inhalte per HTTP laden können. Google bezeichnet diese Situation als Mixed Content. Da damit eine effektive vollständige Verschlüsselung ausgehebelt wird, ist Google dabei, solche Inhalte künftig sukzessive zu blockieren. Aktive Inhalte wie Skripte und Iframes blockiert Chrome bereits jetzt, wenn sie per HTTP geladen werden. Weitere Einschränkungen werden mit Chrome 79 eingeführt, das stabil im Dezember veröffentlicht werden soll, und dann über die nächsten Veröffentlichungen hinweg verschärft, wie das Chromium-Blog zu berichten weiß.

Um dabei möglichst zu verhindern, dass Seiten nicht alle Inhalte laden können, wird Chrome versuchen, die betreffenden Ressourcen auf HTTPS anzuheben. Gelingt das nicht, werden die Inhalte letztendlich blockiert. Mit Chrome 79 führt Google eine neue Einstellung ein, die es erlaubt, solche blockierten Inhalte für bestimmte Seiten freizugeben. Sie wird sich hinter dem Schloss in der Adressleiste im Unterpunkt »Seiteneinstellungen« verstecken.

Mit Chrome 80 werden dann per HTTP geladene Medieninhalte blockiert, wenn sie sich nicht auch über HTTPS laden lassen. Die Blockade lässt sich dann nur seitenweise umgehen. Eine Ausnahme in Chrome 80 stellen Bilder dar. Sie lassen sich noch per HTTP laden, die Seite wird dann aber in der Adressleiste als unsicher klassifiziert. Mit Chrome 81 fällt auch diese Ausnahme weg und Bilder werden wie Audio oder Video blockiert, wenn sie ausschließlich über HTTP geladen werden können.

Die Gefahren von Mixed Content sieht Google in der Möglichkeit, dass Angreifer HTTP-Inhalte unbemerkt manipulieren oder austauschen können, während die Seite insgesamt als sicher ausgegeben wird. Selbst wenn ein Angreifer den Inhalt einer Website nicht verändere, bestehe die Gefahr des Trackings der User solcher Seiten über den Mixed Content.

Werbung
Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung