Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

AUTOMATE IT 2017
28.09.17 - 28.09.17
In Darmstadt

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

3. Esslinger Forum: Das Internet der Dinge
17.10.17 - 17.10.17
In Esslingen

Transformation World
19.10.17 - 20.10.17
In Heidelberg

HTTPSMozilla Firefox und Google Chrome gehören zu den beliebtesten Browsern. Doch beide gehen ganz unterschiedlich mit HTTPS, also mit der Verschlüsselung von Webseiten, um.

Insbesondere Google hat in den vergangenen Jahren strenge Richtlinien aufgestellt und wird spätestens ab Januar 2017 aus Verbraucherschutzgründen Websites ohne SSL/TLS-Verschlüsselung mit einem weißen Blatt in der Adressleiste markieren. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam.

Ein Klick auf dieses kleine Info-Symbol verrät Internet-Nutzern dann, dass die Verbindung zu dieser Seite nicht sicher ist. Erkennt der Browser hingegen effizient verschlüsselte Webseiten, so werden diese in der Browserleiste mit einem zusätzlichen grünen Schloss dargestellt. Verschlüsselt der Website-Betreiber in höchster Validierung, nutzt also ein sogenanntes Extended Validation-Zertifikat, färbt sich die Adressleiste grün. „Wenn etwas mit der SSL-Verschlüsselung nicht stimmt, also mit der Verschlüsselung einer Site nicht in Ordnung ist, zeigt Chrome ein rotes „X“ an. Eine Verschlüsselung ist in diesem Falle zwar grundsätzlich vorhanden, jedoch in ihrer Sicherheit beeinträchtigt“, weist Christian Heutger, Geschäftsführer der PSW GROUP, hin.

Neuerungen bei Chrome ab 2017

Ab Januar 2017 wird Google dann zusätzlich vor Sites warnen, die zwar Passwörter und/ oder Kreditkarteninformationen abfragen, jedoch keine HTTPS-Verschlüsselung nutzen. Einige Releases später will Chrome jene Websites als unsicher markieren, die auf Verschlüsselung verzichten. „Mit einem kleinen Trick können User diese Warnungen schon jetzt aktivieren, indem sie die Einstellungsseite chrome://flags aufrufen. Dort klicken sie einfach nur noch den Menüpunkt „Nicht sicheren Ursprung als nicht sicher markieren“ an und nach einem Browser-Neustart sind die Funktion unter Mac OS X, Windows, Linux, Android sowie Chrome OS bereits nutzbar“, rät Heutger.

Auch Mozilla Firefox stellt sichere Verbindung mit einem grünen Sperrschloss in der Browserleiste dar. Ist neben dem grünen Sperrschloss ein Unternehmensname zu sehen, hat der Website Besucher Gewissheit, dass der Betreiber in höchster Validierung verschlüsselt.

Gemischte Inhalte bei Firefox

Alle anderen Webseiten kennzeichnet Firefox mit Warndreiecken in den Farben grau, gelb und rot – je nach Grad der Sicherheit. So werden sichere Seiten mit unsicheren Inhalten zwar mit grünem Sperrschloss, jedoch mit grauem Warndreieck angezeigt. „Dies bedeutet, dass die Seite an sich sicher ist, unsichere Inhalte jedoch nicht geladen wurden und deshalb nicht angezeigt werden. Dies kann dann passieren, wenn ein Websitebetreiber seine Site eigentlich verschlüsselt, aber beispielsweise einem Werbenetzwerk angeschlossen ist, welches Banner als HTTP-Inhalte ausgibt. Angreifer könnten die HTTP-Anteile der Website auslesen und diese austauschen, um Login-Informationen sowie persönliche Informationen wie Adresse oder Kreditkarteninformationen der Website-Besucher zu stehlen. Auch gelänge es dem Angreifer, auf diese Weise Schadsoftware auf Rechnern zu installieren“, erklärt Christian Heutger.

Zeigt Firefox in der Browserleiste vor der URL hingegen ein graues Sperrschloss mit gelbem Warndreieck an, so ist die Website nur teilweise verschlüsselt und nicht abhörsicher. „In diesem Falle sollten User auf die Eingabe persönlicher Daten verzichten. Gleiches gilt, wenn ein graues Sperrschloss angezeigt wird, welches rot durchgestrichen ist. Dann ist die Site lediglich teilweise verschlüsselt, dabei nicht abhörsicher und es sind Man-in-the-Middle-Attacken möglich“, ergänzt der IT-Sicherheitsexperte.

Weitere Informationen finden Sie hier.

www.psw-group.de
 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet