Google Chrome blockiert unsichere Downloads – und Alphabet wird weiter rückgängig gemacht

Chrome macht demnächst http-Webseiten das Leben schwer
Google gab einen weiteren Schritt bekannt, um Nutzer vor potenziell schädlichen Downloads zu schützen. So heißt es, dass demnächst keine unsicheren Downloads mehr möglich sind – womit Google http-Verbindungen meint. In der ersten Phase sehen Anwender lediglich eine Warnung mit Hinweis, später soll dann die komplette Blockierung erfolgen. Damit zieht Google in zweierlei Hinsicht die Daumenschrauben an. Einerseits wird der Nutzer stärker dafür sensibilisiert, unsichere Angebote nicht mehr zu nutzen, andererseits müssen nun wirklich auch jene Betreiber reagieren, die noch immer keine https-Umstellung vorgenommen haben.


Die Warnphase beginnt im April mit Chrome 82, mit jedem weiteren Update erfolgt dann eine Verschärfung. Der genauere Versionsplan geht aus der oben eingeblendeten Grafik hervor. Version 86 wird dafür sorgen, http-Webseiten weitgehend unbrauchbar zu machen, denn dann lädt Chrome weder Bilder noch Videos noch Textdokumente aus unsicheren Quellen. Für Android und iOS vergeht ein klein bisschen mehr Zeit, bis die neuen Vorgaben aktiv sind – die Einführung ist um genau eine Version versetzt.


Alphabet weiter im Rückwärtsgang
Die Google-Dachgesellschaft Alphabet wurde schon mehrfach als gescheitertes Experiment bezeichnet und es gibt diverse Hinweise darauf, dass sich das Unternehmen wieder auf die frühere Struktur zurückbesinnt. Seitdem der vorherige Google-CEO Sundar Pichai an der Spitze von Alphabet steht, sind einige Änderungen offensichtlich. Während Alphabet sich auf Geschäftsbereiche konzentrierte, die kaum Gewinne bzw. sogar Verluste bringen, war die Google-Sparte für das Geldverdienen verantwortlich. Pichai will Alphabet hingegen anders aufstellen und zumindest in Teilen wieder zum alten Google-Konzern machen. Jigsaw, einst von Google gegründet, dann ausgegliedert, kommt wieder zurück zu Google – genauso wie auch schon Nest und Chronicle selbige Rückabwicklung hinter sich haben. Mehr und mehr ist damit die Frage aktuell, wozu es Alphabet eigentlich noch gibt, denn eine Abschottung der Kernmarke gegenüber neuer Geschäftsbereich erscheint nicht mehr erforderlich. Die Entwicklung der letzten Zeit zeigt, dass man bei Alphabet bzw. Google sehr ähnlich denkt.

Kommentare

Klappermaus
Klappermaus11.02.20 15:06
Was wohl in naher Zukunft noch als "sichere Downloads" klassifiziert wird...
+2
sierkb11.02.20 15:16
Klappermaus
Was wohl in naher Zukunft noch als "sichere Downloads" klassifiziert wird...

Alles, was mindestens durchgängig HTTPS-verschlüsselt ist und HSTS, CSP & Co. berücksichtigt.

Es geht dabei um diese Dinge. Und Google ist damit nicht alleine in seinen Bemühungen, sondern alle Browser-Hersteller ziehen da derzeit an einem Strang und verständigen sich da untereinander, machen Gleiches. Es geht darum, unverschlüsselte HTTP-Zugriffe aus verschlüsseltem HTTPS heraus (mixed content) weniger werden zu lassen bzw. zu blocken bzw. geschlossen verschlüsselte Verarbeitungsketten herzustellen bzw. jene zu bevorzugen und dafür zu werben und unverschlüsselte Verbindungen mindestens zu erschweren und irgendwann komplett zu blocken. Der Sicherheit wegen. Alle Browser-Hersteller machen es so bzw. werden es so machen, nicht nur Google.
+2
MikeMuc11.02.20 15:45
Kann man das abschalten? Nicht das man dann ältere Geräte im lokalen Netz die, warum auch immer, kein https können, nicht mehr "bedienen" kann (zB Logdateien oder configs laden etc).
+1
mac86
mac8611.02.20 17:05
Weiß man, ob man das in der Config wieder deaktivieren kann? Das wäre ein Kompromiss gegenüber fortgeschrittenen Usern.
+2
sierkb11.02.20 17:48
Golem (10.02.2020): Chrome soll langfristig HTTP-Downloads blockieren
Das Entwicklerteam von Googles Chrome will künftig alle unsicheren Downloads in dem Browser blockieren. Die Umsetzung soll schrittweise für unterschiedliche Dateiformate verteilt werden.

heise (08.02.2020): Nur noch HTTPS: Chrome blockiert unsichere Downloads
Chrome lässt künftig nur noch Downloads via HTTPS zu, sofern sie von einer HTTPS-Seite gestartet werden.

Google Security Blog (06.02.2020): Protecting users from insecure downloads in Google Chrome

Chromium Blog (03.10.2019): No More Mixed Messages About HTTPS
-2
sierkb11.02.20 17:53
mac86
Weiß man, ob man das in der Config wieder deaktivieren kann? Das wäre ein Kompromiss gegenüber fortgeschrittenen Usern.
Golem
[…]
In der Ankündigung begründet das Joe DeBlasio von Chromes Security-Team damit, dass unsichere Downloads eine Gefahr für Sicherheit und Privatsphäre der Nutzer sind. So könnten per HTTP heruntergeladene Dateien durch Angreifer über einen Man-in-the-Middle-Angriff durch Malware ausgetauscht werden. Ebenso lassen sich die Inhalte der heruntergeladenen Dateien bei HTTP-Verbindungen mitlesen.

Bei der Umsetzung der Blockade unsicherer Downloads will sich das Team zunächst auf die eingangs erwähnten Mixed-Content-Downloads konzentrieren. Denn bisher habe Chrome keine Möglichkeit, Nutzer vor dieser unsicheren Übertragung zu warnen. Beginnen will das Team mit der Warnung vor unsicheren Downloads von ausführbaren Dateien mit Chrome 82, das im April 2020 erscheinen soll. In Chrome 83 sollen diese Downloads dann blockiert werden.

Stufenweise folgen sollen Archive wie .zip oder .iso mit Version 83, weiter potenziell gefährliche Dateien wie PDF oder Docx mit Chrome 84 und schließlich Bilder, Audio, Video und Text mit Chrome 85. Ab der Version 86 sollen dann Downloads aller aufgezählten Dateitypen blockiert werden.

Um die Warnungen und die eigenen Seiten zu testen, bietet Google in aktuellen Canary Builds von Chrome und dann auch mit der kommenden Version 81 die Möglichkeit, die Warnung über die Option chrome://flags/#treat-unsafe-downloads-as-active-content zu aktivieren. Enterprise- und Education-Nutzer können das standardmäßige Blockieren mit einer Whitelist pro Domain über eine Richtlinie überschreiben.
Google
[…]
Developers can prevent users from ever seeing a download warning by ensuring that downloads only use HTTPS. In the current version of Chrome Canary, or in Chrome 81 once released, developers can activate a warning on all mixed content downloads for testing by enabling the "Treat risky downloads over insecure connections as active mixed content" flag at chrome://flags/#treat-unsafe-downloads-as-active-content.

Enterprise and education customers can disable blocking on a per-site basis via the existing InsecureContentAllowedForUrls policy by adding a pattern matching the page requesting the download.


In the future, we expect to further restrict insecure downloads in Chrome. We encourage developers to fully migrate to HTTPS to avoid future restrictions and fully protect their users. Developers with questions are welcome to email us at security-dev@chromium.org.
-2
aMacUser
aMacUser11.02.20 18:21
sierkb Als Antwort auf das Zitat von mac86 hätte auch der Satz gereicht:
Google
Enterprise and education customers can disable blocking on a per-site basis via the existing InsecureContentAllowedForUrls policy by adding a pattern matching the page requesting the download.
Man wird die Sperre also pro Seite deaktivieren können. Für rein lokale Anwendungen, die nur im eigenen Heimnetz laufen, ist das eine sehr praktische Sache.
+2
sierkb11.02.20 18:51
[OT]

aMacUser:

Jawoll, zu Befehl. Vorschlag: das nächste Mal machst Du das an meiner statt, und Du machst es dann um Welten besser als ich, und ich schaue mir dann bei Dir ab, wie es perfekt und richtig geht und kann mich entspannt zurücklehnen. Abgemacht?

Abgesehen davon: und wenn ich es aber etwas anders sehe als Du und Dir widerspreche und mir was dabei gedacht habe, warum ich es so zitiert und hervorgehoben habe wie geschehen und nicht anders – z.B., um den unmittelbaren inhaltlichen Zusammenhang zu belassen, in dem es ausgesagt wurde – (ich habe es sogar bereits gekürzt gehabt)?

[/OT]
-3
aMacUser
aMacUser12.02.20 00:28
sierkb erstens musst du nicht direkt angepisst sein, weil ich berechtigte Kritik geäußert habe und zweitens kannst du ja gerne vieles anders sehen, aber dass man die simple Antwort der Frage erst lange suchen muss, hat nichts mit Meinung zu tun, sondern ist eine Tatsache.
Und jetzt rege dich bitte nicht direkt auf, nur weil dir widersprochen wurde. In einer konstruktiven Unterhaltung sind konstruktive Gegenstimme unerlässlich (was deine Antwort auf meinen Post nicht war).
+5
sierkb12.02.20 00:55
[OT]
aMacUser:

Und Du kannst Dich drehen und wenden wie Du willst, ich wollte es exakt genauso zitieren und auch in dieser Länge, wie ich es getan habe! Ganz bewusst und absichtsvoll! Ich wollte ursprünglich sogar noch länger zitieren bzw. in zwei Abschnitten, habe mich dann aber nun mal so entschieden gehabt, wie ich es nun mal getan habe bzw. in letzter Sekunde Anderes, was ich bereits aufbereitet hatte, wieder gelöscht und dann letztlich das stehen lassen, was ich habe stehen lassen (und dann aufgrund der Minutenregel, die dann zuschlug, hier nicht weiter gekürzt habe, nicht kürzen konnte).

Das kannst Du nun gut finden oder nicht, das ist Dein Bier, das mache mit Dir selber aus. Ich habe es so getan und stehe dazu, und mir ist es völlig wumpe, ob Du das nun noch mehr gekürzt hättest oder nicht und ob Dir das nun zu lang ist oder nicht.

Mach' da jetzt bitte keine Staatsaffäre draus und zieh Dich an sowas relativ Unwichtigem hoch, es gibt echt Wichtigeres. Thema gegessen bitte. Was soll sowas? Tut das echt Not?

P.S.: Ist wenigstens meine Rechtschreibung für Dich in Ordnung, oder haste daran auch noch was zu bemängeln und zu korrigieren, habe ich da auch noch irgendwas falsch gemacht, das Du anders und besser gemacht hättest?

Wenn's weiter nichts ist – Du hast ja echt Probleme… *kopfschüttel*
[/OT]
-8
[ezi0n]12.02.20 11:17
Klappermaus
Was wohl in naher Zukunft noch als "sichere Downloads" klassifiziert wird...
vor allem da dies natuerlich nicht unbedingt sicher ist, da nicht jeder einen HTTPS scanner hat, wo hingegen clear-text downloads mit etlichen loesungen ueberpruefbar sind da sie eben "sichtbar" sind ...
-1
ratti
ratti12.02.20 20:18
ezi0n
Klappermaus
Was wohl in naher Zukunft noch als "sichere Downloads" klassifiziert wird...
vor allem da dies natuerlich nicht unbedingt sicher ist, da nicht jeder einen HTTPS scanner hat, wo hingegen clear-text downloads mit etlichen loesungen ueberpruefbar sind da sie eben "sichtbar" sind ...
Da hast Du was falsch verstanden.

Ein „HTTPS-Scanner“, wie 'Du es nennst, also zum Beispiel Antivirus-Schlangenöl, macht die Übertragung als zusätzlicher Angriffsvektor sogar noch unsicherer.

Die „Sicherheit“, um die es hier geht, hat nichts mit dem Inhalt der übertragenen Daten zu tun. Du wirst über HTTPS genau so wie über HTTP ganz prima ein Programm herunterladen können, dass deinen Benutzerordner leert. Der Unterschied zwischen HTTP und HTTPS ist aber, dass ein „Man in the Middle“ die Daten nicht verändern kann.

Also, Beispiel: Du lädst dir über HTTP den neuen Firefox herunter. Dein WLAN-Router wurde aber gekapert und ersetzt den Firefox-Download im Datenstrom einfach durch eine böswillige Software. Du startest arglos „Firefox.app“, und BÄMM.
Würdest Du stattdessen HTTPS verwenden, wäre das nicht möglich, die Übertragung wäre schlicht fehlerhaft, der Download scheitert.

Wenn Du meinst das tun zu müssen, dann kannst Du die heruntergeladene Datei immer noch auf deine Schlangenöl-Software draufkippen — aber nur HTTPS garantiert dir, dass die Datei, die auf getfirefox.com losgeschickt wurde, auch bei dir ankommt.

Disclaimer: Das war ein Beispiel, selbstverständlich kommt Firefox seit langem exklusiv per HTTPS. Genau deswegen.
0
ratti
ratti12.02.20 20:23
sierkb
Und Du kannst Dich drehen und wenden wie Du willst, ich wollte es exakt genauso zitieren und auch in dieser Länge, wie ich es getan habe! Ganz bewusst und absichtsvoll!
Und genau das ist das Problem. Bitte verlinke statt zu kopieren.
0
sierkb12.02.20 21:14
[OT]
ratti:

Wie man's macht, macht man's verkehrt. Macht man's so, ist es nicht recht, macht man es anders ist es auch nicht recht. Einigen kann man es nie rechtmachen – die finden immer was zum Rumpaulen – und (und dann erst recht) wenn's die Nase des Gegenübers ist, die nicht passt. Man kann sich auch echt anstellen und aus einer Mücke einen Elefanten machen. Lenkt immer prima ab vom eigentlichen Thema, um das es geht. Muss das sein, und muss ad hominem sein – statt sich mit dem Eigentlichen auseinanderzusetzen?
[/OT]
-4

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.