Google hat die nächste Browser-Generation Chrome 68 freigegeben. Die neue Version brandmarkt alle HTTP-Seiten pauschal als unsicher. Außerdem haben die Entwickler zahlreiche Sicherheitslücken geschlossen. Mit der neuen Chrome-Version 68.0.3440.75 hat sich Google relativ viel Zeit gelassen. Acht Wochen sind seit dem Erscheinen der Version 67 bereits vergangen. Neben etlichen beseitigten Schwachstellen ist die wichtigste Neuerung, dass Chrome 68, wie lange angekündigt , unverschlüsselt übertragene Web-Seiten (HTTP) als „nicht sicher“ brandmarkt. Damit will Google HTTPS als Übertragungsprotokoll durchsetzen. Im Chrome Release Blog führt Abdul Syed diejenigen unter den 42 geschlossenen Sicherheitslücken auf, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet worden sind. Rechnet man (wie es Google offenbar tut) Mitglieder des Google Project Zero mit, sind dies 29 Schwachstellen. Fünf dieser Lücken stuft Google als hohes Risiko ein. Allein drei dieser fünf Lücken betreffen WebRTC und sind durch dieselbe Project-Zero-Forscherin entdeckt worden. Im Gegensatz zu echten Externen erhält Natalie Silvanovich allerdings keine Bug-Prämie dafür. Bislang hat Google 21.000 US-Dollar an Prämien für Schwachstellen zuerkannt, die vor der Fertigstellung der neuen Chrome-Version behoben werden konnten. Chrome 68 weist HTTP-Websites pauschal als „nicht sicher“ aus, weil sie Inhalte unverschlüsselt übertragen. Google will das verschlüsselte HTTPS als Standard durchsetzen. Auch Chrome 68 kennzeichnet HTTPS-Websites noch mit einem grünen Vorhängeschloss und dem Attribut „Sicher“. Das könnte sich jedoch ändern, sobald Google der Meinung ist, dass HTTPS als Standard gelten kann. Wer sich kein SSL-/TLS-Zertifikat für seine Website leisten kann, hat Pech. Zwar bietet Let's Encrypt kostenlose Zertifikate an, die Chrome und andere Browser auch akzeptieren, doch um sie nutzen zu können, muss man einen eigenen Web-Server betreiben oder ist auf den guten Willen seines Hosting Providers angewiesen. Einige Web-Hoster bieten inzwischen auch in kleineren Paketen ein Basiszertifikat ohne Aufpreis an. Wem dies allerdings nicht genügt, der muss extra zahlen. Fragen Sie Ihren Provider bei Bedarf nach einem Wechsel in eines seiner neueren Hosting-Pakete. Update auf Google Chrome 68 stopft 42 Lücken
- Details
- PC-WELT Webnews RSS
- Hauptkategorie: IT News aus aller Welt
- Kategorie: Computer & Internet
Google hat die nächste Browser-Generation Chrome 68 freigegeben. Die neue Version brandmarkt alle HTTP-Seiten pauschal als unsicher. Außerdem haben die Entwickler zahlreiche Sicherheitslücken geschlossen. Mit der neuen Chrome-Version 68.0.3440.75 hat sich Google relativ viel Zeit gelassen. Acht Wochen sind seit dem Erscheinen der Version 67 bereits vergangen. Neben etlichen beseitigten Schwachstellen ist die wichtigste Neuerung, dass Chrome 68, wie lange angekündigt , unverschlüsselt übertragene Web-Seiten (HTTP) als „nicht sicher“ brandmarkt. Damit will Google HTTPS als Übertragungsprotokoll durchsetzen. Im Chrome Release Blog führt Abdul Syed diejenigen unter den 42 geschlossenen Sicherheitslücken auf, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet worden sind. Rechnet man (wie es Google offenbar tut) Mitglieder des Google Project Zero mit, sind dies 29 Schwachstellen. Fünf dieser Lücken stuft Google als hohes Risiko ein. Allein drei dieser fünf Lücken betreffen WebRTC und sind durch dieselbe Project-Zero-Forscherin entdeckt worden. Im Gegensatz zu echten Externen erhält Natalie Silvanovich allerdings keine Bug-Prämie dafür. Bislang hat Google 21.000 US-Dollar an Prämien für Schwachstellen zuerkannt, die vor der Fertigstellung der neuen Chrome-Version behoben werden konnten. Chrome 68 weist HTTP-Websites pauschal als „nicht sicher“ aus, weil sie Inhalte unverschlüsselt übertragen. Google will das verschlüsselte HTTPS als Standard durchsetzen. Auch Chrome 68 kennzeichnet HTTPS-Websites noch mit einem grünen Vorhängeschloss und dem Attribut „Sicher“. Das könnte sich jedoch ändern, sobald Google der Meinung ist, dass HTTPS als Standard gelten kann. Wer sich kein SSL-/TLS-Zertifikat für seine Website leisten kann, hat Pech. Zwar bietet Let's Encrypt kostenlose Zertifikate an, die Chrome und andere Browser auch akzeptieren, doch um sie nutzen zu können, muss man einen eigenen Web-Server betreiben oder ist auf den guten Willen seines Hosting Providers angewiesen. Einige Web-Hoster bieten inzwischen auch in kleineren Paketen ein Basiszertifikat ohne Aufpreis an. Wem dies allerdings nicht genügt, der muss extra zahlen. Fragen Sie Ihren Provider bei Bedarf nach einem Wechsel in eines seiner neueren Hosting-Pakete. - Zugriffe: 242