Viele der großen Online-Dienste gibt es inzwischen verschlüsselt. Doch eine Verschlüsselung ist nicht immer sicher, vor allem wenn Daten von einer weiteren Seite geladen werden.
Bereits heute warnt Google Chrome und auch andere Browser, wenn eine verschlüsselte Webseite weitere Daten unverschlüsselt nachlädt. Hierbei wird das grüne Schloss in der Omnibox grau und mit einem gelbem Dreieck oder einem rotem X versehen. In der Infobubble zeigt Google dann ungefähr diesen Text an:
Die Verbindung zu mail.google.com ist mit einer 128-Bit-Verschlüsselung verschlüsselt. Diese Seite enthält jedoch andere, nicht sichere Ressourcen. Diese Ressourcen können während der Übertragung von anderen Nutzern angezeigt und von Angreifern bearbeitet werden, die das Layout der Seite verändern.
Vor allem bei Webseiten mit dem roten X sollte man vorsichtig sein. Webmaster, die eine sichere Seite anbieten wollen und Chrome ihre Webseite mit dem Icon versieht sollte aus zwei Gründen handeln:
- Die Webseite wird auch in anderen modernen Browsern wie dem Firefox 4 oder Internet Explorer 9 (das schreibt Google tatsächlich) nicht richtig angezeigt. Nutzer außerdem Dialoge wegklicken.
- unsichere Elemente einer Webseite können die komplette verschlüsselte Verbindung aushebeln und so die Sicherheit minimieren.
Seit Chrome 14.0.785.0 werden unsichere Elemente einer verschlüsselten Webseite blockiert und erst nach einem Klick des Nutzers geladen. Eine Infobar, die nun nicht mehr zufälschen sind (ein Pfeil zeigt auf das Icon und damit außerhalb des eigenen Browsers), weißt den Nutzer aber daraufhin:
Die Screenshots stammen von Google und wurden auf Ubuntu aufgenommen, sie zeigen also kein neues Design von Chrome 😉
Weitere Details sowie den aktuellen Stand der Entwicklung gibt es im Issue-Tracker von Chromium #81637.