In der aktuellen Version 67 seines Webbrowsers schließt Google einige Sicherheitslücken, entfernt einen Sicherheitsmechanismus und fügt im Gegenzug auch einen neuen für weitere Nutzer hinzu.
Das Sicherheitsfeature Site Isolation soll zwar In Chrome 67 immer noch nicht standardmäßig, aber doch schon für immer mehr Nutzer aktiviert sein. Den Standard HTTPS Public Key Pinning (HPKP) hat Google jetzt wieder aus Chrome entfernt.
In Version 67 haben die Entwickler immerhin 34 Sicherheitslücken geschlossen. Keine davon war aber als kritisch eingestuft und nur neun davon sind mit dem Bedrohungsgrad „hoch“ eingestuft.
Die Sandbox-Erweiterung
Mit der Site Isolation sollen Webseiten effektiv voneinander abgeschottet werden, weil die Seiten jeweils als eigene Prozesse laufen. Dieser Schutz ergänzt die Sandboxen, in denen Chrome die Webseiten öffnet. Durch Site Isolation soll es Angreifern noch schwerer gemacht werden, über eine manipulierte Internetseite Informationen von anderen Seiten abzugreifen. Dieser Ansatz soll vor allem vor den gefürchteten Seitenkanal-Angriffe wie beispielsweise den CPU-Lücken Meltdown und Spectre sowie UXSS-Attacken schützen.
Mit der neuen Browserversion Chrome 67 soll das Feature jetzt für noch mehr Nutzer aktiv sein. Wer die Funktion noch nicht hat und sie aktivieren möchte, gibt in die URL-Zeile chrome://flags ein. Danach sucht man dann nach „Strict site isolation“ und aktiviert diesen Eintrag. Wenn Chrome dann neu gestartet wurde, ist das neue Sicherheitsfeature aktiv.
Das Ende von HPKP
Wie schon angekündigt verabschiedet sich Google mit Chrome 67 vom Public Key Pinning HPKP. Der Standard sollte zwar das Web sicherer machen, wurde aber vor allem wegen der zu komplexen Einrichtung kaum genutzt.
Mit HPKP kann ein Webseitenbetreiber den Browser seiner Besucher informieren, dass er immer Zertifikate von beispielsweise Letsencrypt oder RapidSSL benutzt. Wenn dann beim nächsten Besuch das Zertifikat von einer anderen Zertifizierungsstelle stammt, merkt der Browser, dass etwas falsch läuft und lehnt deshalb die offensichtlich kompromittierte Verbindung ab.
Chrome 67 unterstützt jetzt auch WebAuthn und damit Logins ohne Passwörter. Durch diesen Standard kann man sich bei Web-Services zum Beispiel mit USB-Token und biometrischen Verfahren einloggen.