Chrome 80 mit SameSite-Cookies und ohne FTP

Soeben hat Google die neueste Version 80 seines Chrome-Browsers veröffentlicht. Damit verwirklichen die Entwickler des Browsers unter anderem lange angekündigte Änderungen beim Umgang mit Cookies . Der Umgang mit SameSite-Cookies Mit Chrome 80 werden alle Cookies, die das Same-Site-Attribut nicht verwenden, so behandelt, als setzten sei das Attribut „SameSite=Lax“ gesetzt. In dem neuen Browser wird der externe Zugriff auf Cookies von Dritten nur noch dann gestattet, wenn sie explizit als „SameSite=None“ deklariert sind. Auch das Attribut „Secure“ muss dabei gesetzt werden, das den Zugriff via HTTPS erzwingt. Dadurch werden alle Cookies ohne das SameSite-Attribut auf First-Level-Domains beschränkt. Der Umgang mit Mixed Content Mit Version 80 von Googles Chrome-Browser setzen die Entwickler außerdem weitere Änderungen um, mit denen HTTPS-Mixed-Content abgeschafft werden soll. Auf längere Sicht sollen dafür alle HTTP-Ressourcen vollautomatisch auf HTTPS umgestellt werden. Das macht der Browser schon jetzt so weit wie möglich mit Audio- und Videocontent. Kann der aber dann nicht geladen werden, bleibt es weiter bei HTTP. Das Laden von Bildern über eine HTTP-Verbindung auf einer HTTPS-Domain unterstützt der Browser weiterhin. Dabei wird die Internetseite dann allerdings weiterhin als nicht sicher angezeigt. Damit schickt Google eine klare Botschaft an die Seitenbetreiber, endlich ihre Seiten auf HTTPS umzustellen. Wie man Mixed Content finden und beseitigen kann, zeigt ein [...]

2020-02-06T11:10:06+02:00Februar 6th, 2020|Browser, Coding, HTML, Sicherheit|Kommentare deaktiviert für Chrome 80 mit SameSite-Cookies und ohne FTP
Weiterlesen

Chrome 79 prüft Passwörter

Mit der neuen Version 79 des Browsers Chrome bringt Google neben den üblichen Fehlerbeseitigungen auch neue Funktionen. Dazu gehören das Echtzeit-Blacklisting bösartiger Websites über die Safe Browsing API, die allgemeine Verfügbarkeit von Predicitive Phishing-Schutzmaßnahmen, das Verbot des Ladens von HTTPS „mixed content“ – und last not least die Überprüfung von Passwörtern auf Kompromittierung, Dabei ist Password Checkup ein Online-Dienst, mit dem Google alle in Chrome synchronisierten Passwörter speichert und dann überprüft, ob sie möglicherweise komprommitiert sind. Diese Passwort-Überprüfung hat es damit von einer nur als separate Chrome-Erweiterung oder als Abschnitt im Google Web-Dashboard verfügbaren Funktion in den Browser selbst geschafft. Um die Funktion auch nutzen zu können, müssen die Chrome-Benutzer bei ihrem Google-Konto in dem Browser angemeldet sein. Die neue Browser-Version wird auch gerade erst ausgeliefert - es könnte also noch einige Tage dauern, bis alle Chrome-Anwender den Passwort-Check nutzen können. Wenn die Funktion dann aktiviert ist, überprüft Chrome die vom Nutzer abgespeicherten Passwörter daraufhin, ob sie eventuell schon kompromittiert sind. Wenn das so sein sollte, fordert Chrome den Benutzer auf, die betroffenen Passwörter umgehend zu ändern. In seinem Blogbeitrag dazu beschreibt Google das Verfahren detailliert. Bild: Pixabay

2019-12-16T11:47:46+02:00Dezember 16th, 2019|Browser, Webwerkzeuge|Kommentare deaktiviert für Chrome 79 prüft Passwörter
Weiterlesen

Browser Chrome will Mixed Content blockieren

Die Entwickler von Googles Chrome-Browsers planen, in mehreren Schritten dafür zu sorgen, dass HTTPS-Internetseiten künftig nur noch HTTPS-Subressourcen laden können, wie das Team im Chromium-Blog schreibt. Sochen sogenannten Mixed Content, also unverschlüsselte HTTP-Subressourcen innerhalb einer ansonsten verschlüsselten HTTPS-Webseite, soll Chrome demnach in seinen kommenden Versionen standardmäßig blockieren. Die Gründe für das Blockieren von Mixed Content Nach Googles eigenen Statistiken surfen die Chrome-Nutzer schon heute in 90 Prozent ihrer Arbeitszeit mit dem Browser auf sicheren HTTPS-Webseiten, die  derzeit aber immer noch Probleme mit dem Mixed Content hätten. Zwar werden hier viele derartige Inhalte wie etwa Iframes und Skripte schon blockiert , aber Bilder, Audio- und Videoinhalte sind aktuell immer noch gestattet. Das gefährde aber die Privatsphäre und die Sicherheit der Benutzer. In ihrem Blog-Eintrag begründen die Entwickler ihre Entscheidung damit, dass durch den Mixed Content nicht nur bestimmte Angriffe ermöglicht werden könnten, sondern die Nutzung von Mixed Content auch zu einer "verwirrenden" Browser-Erfahrung für die Nutzer führe. Denn schließlich ist die genutzte Seite weder vollständig abgesichert noch komplett unsicher – sie bewegt sich irgendwo dazwischen. Neuerungen für kommende Versionen Mit der im Dezember erwarteten Chrome-Version 79 soll der Browser eine neue Funktion bekommen, mit der das Blockieren des Mixed Content aufgehoben werden kann. Das betrifft aktuell blockierte Inhalte wie Iframes [...]

2019-10-09T11:37:31+02:00Oktober 9th, 2019|Browser, Coding, HTML|Kommentare deaktiviert für Browser Chrome will Mixed Content blockieren
Weiterlesen
Nach oben