Browser machen ernst: Warnung vor unsicheren Logins

Philipp Zeder
Autor:

Philipp Zeder

Kategorie:

in

Internet & Recht

Veröffentlicht am 3. Feb. 2017

Aktualisiert am 9. Mai 2022

Der Stein, den die kostenlosen SSL-Zertifikate von Let’s Encrypt ins Rollen gebracht hat, lässt sich nicht mehr stoppen. Verschlüsselte Verbindungen zu Websites werden der neue Standard sein. Mit den neusten Versionen der Browser Firefox und Chrome werden Login- und Kreditkartenformulare als unsicher markiert, wenn diese nicht durch ein SSL-Zertifikat geschützt sind.

Schrittweise Angewöhnung

Konsequenterweise müssten alle Websites, die nicht per HTTPS aufgerufen werden, als unsicher markiert werden. Doch ein Überfluss an Warnungen kann abstumpfen und der gewünschte Effekt verpufft. Deshalb haben sich die Entwickler der beiden Browser für eine schrittweise Angewöhnung der Nutzer an den zukünftigen Normalzustand entschieden.

Unsichere Login-Formulare werden markiert

Zu den Informationen, mit denen Angreifer den grössten Schaden verursachen können, gehören Passwörter und Kreditkarten-Daten. Darum werden ab Chrome 56 und Firefox 51 Websites neu als unsicher eingestuft, wenn sie über unverschlüsseltes HTTP geladen werden und Formularfelder enthalten, in denen Login- oder Kreditkarten-Daten abgefragt werden. Und so sieht das aus:

Warnung vor unsicheren Login-Formularen in Firefox

Warnung vor unsicheren Login-Formularen in Firefox.

Warnung vor unsicheren Login-Formularen in Chrome

Warnung vor unsicheren Login-Formularen in Chrome.

Die Entwickler von Firefox planen zudem, Nutzern direkt in den Formularfeldern eine Warnung anzuzeigen, wenn diese unsicher sind:

Firefox: Geplante Warnung in unsicheren Formularfeldern.

Firefox: Geplante Warnung in unsicheren Formularfeldern.

HTTPS: Schutz vor Manipulation

Dass SSL-verschlüsselte Verbindungen Vertrauen schaffen, von Google bevorzugt werden und Voraussetzung für das schnellere Protokoll HTTP/2 sind, ist bekannt. Ein Aspekt von HTTPS ist bislang jedoch nicht allzu oft beleuchtet worden, verdient aber unbedingt mehr Beachtung: Schutz vor Manipulation.

Websites, die Sie über eine unverschlüsselte Verbindung aufrufen, können prinzipiell auf dem Weg zu Ihnen verändert worden sein. Oder Ihr Internet-Provider lässt zusätzliche Werbung anzeigen.

https://twitter.com/DPHansen/status/686151107656216576

Schützen Sie Besucher Ihrer Website vor solchen Manipulationen. Dank Let’s Encrypt sind die benötigten SSL-Zertifikate nur noch einen Mausklick entfernt.

Beteilige dich an der Diskussion

Kommentare