Die Browser-Hersteller
Google und
Mozilla sind bereits seit längerem bestrebt, die Verbreitung von sicheren HTTPS-Webseiten voranzutreiben. Bei Chrome geht man jetzt einen Schritt weiter und will auch Inhalte blockieren, deren Domain zwar über eine HTTPS-Verbindung läuft, die aber Dateien wie Bilder oder Videos nach wie vor via HTTP einbinden. Wie die Macher via Security-Blog
ankünden, wird der Chrome-Browser hierfür angepasst, um sogenannten Mixed Content dereinst standardmässig zu blockieren. Ziel sei es, die User Privacy und die Sicherheit im Netz generell zu verbessern, heisst es in der Begründung.
Die Blockierung von gemischten Inhalten soll stufenweise mit dem Start der übernächsten Chrome-Version 79 erfolgen, die im Dezember erwartet wird. In diesem Release wird es eine neue Einstellung geben, über die Chrome-Nutzer die Blockierung bestimmter Sites aufheben können, um auch Scripts und iFrames via HTTP zu laden.
In Chrome 80, der Mitte Januar veröffentlicht werden soll, werden dann Video- und Audio-Ressourcen automatisch auf HTTPS umgeleitet, sofern sie über das verschlüsselte Protokoll verfügbar sein, der Rest wird blockiert. Auch hier kann die Blockierung über die genannten Einstellungen aufgehoben werden. Bilder werden hier nach wie vor angezeigt, doch wird neben der Adresszeile der Hinweis "Nicht sicher" angezeigt.
Chrome 81 wird schliesslich auch via HTTP verlinkte Bilder auf HTTPS umleiten und, wenn dies nicht möglich ist, den Zugriff blockieren.
(rd)