Google macht Schluss mit unsicheren Inhalten auf sicheren Seiten

Google hat angekündigt, dass Chrome künftig auf HTTPS-Seiten keine Scripte, CSS-Dateien und Plugins mehr ausführen soll, die unverschlüsselt übertragen wurden. Beim sogenannten Mixed Scripting besteht die Gefahr, dass durch durch einen Man-in-the-middle-Angriff ein unverschlüsselt übertragenes Objekt manipuliert und dadurch auch die verschlüsselt übertragene Seite manipuliert oder ausgelesen werden kann. Aus diesem Grund warnen Web-Browser ihren Anwender in einem solchem Fall. Chrome etwa signalisiert dies durch ein durchgestrichenes HTTPS-Symbol in der Adresszeile, Firefox öffnet eine Warnmeldung, die der Anwender wegklicken muss.

In Zukunft will Google noch einen Schritt weiter gehen und die unsicheren Objekte ab Chromium-Version 14, auf der auch Chrome 14 basieren wird, zunächst erst einmal gänzlich blockieren. Ausgenommen hiervon sind Bilder, iFrames und Schriftarten, da ein Angreifer hierüber lediglich das Erscheinungsbild einer Seite verändern kann. Blockt der Browser ein unverschlüsselt übertragenes Script, wird der Nutzer durch eine gelbe Informationsleiste unterhalb der Adressleiste informiert. Hier kann sich der Nutzer auch dieser Vorsichtsmaßnahme widersetzen und einen Reload der Seite einschließlich der unsicheren Inhalte anstoßen.

Die aktuelle Entwicklerversion 13.0.782.10 liefert mit dem Startparameter --no-running-insecure-content einen Vorgeschmack auf die neue Schutzfunktion. Mit dem Parameter --no-displaying-insecure-content kann man auch noch die Darstellung der weniger gefährlichen Bilder, iFrames und Schriftarten unterbinden – standardmäßig aktivieren will Google diese Option allerdings nicht. Mit Chromium 14 will Google den Parameter --allow-running-insecure-content einführen, der dafür sorgt, dass der Browser wie gewohnt mit den unsicheren Objekten umgeht. (rei)