1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Google: Chrome soll langfristig HTTP…

http ist per Google-Definition böse - was soll das ?

  1. Thema

Neues Thema Ansicht wechseln


  1. http ist per Google-Definition böse - was soll das ?

    Autor: PSmith 10.02.20 - 13:59

    Was soll das, pauschal zu sagen, das http per (Google-)Definition böse ist ?
    Erstens gibt es ja auch im Internet Browser, die nur Informationen für die Allgemeinheit anbieten, und keinerlei Login/Authentifizierung fordern. Wieso sollte es also böse sein, unverschlüsselt Content anzubieten, den sowieso jeder lesen soll und kann ?
    Zweitens gibt es eine Unmenge Geräte / Infrastrukturkomponenten, die mit einem selbstgerechneten (und damit ungültigen) Zertifikat https anbieten, oder eben für die Konfiguration oder Einsicht (Statusseite bspw.) gar kein https anbieten - aber das eben nicht im Internet sondern im lokalen Netz. Warum soll ich die Möglichkeit genommen bekommen, hier nicht doch den Browser dazu nutzen zu können ?
    Aber wenn Google ruft, rennen alle hinterher ... verrückt.

  2. Re: http ist per Google-Definition böse - was soll das ?

    Autor: masterx244 10.02.20 - 14:47

    Ohne HTTPS kann wenn sich irgendwer in die Verbindung hängen kann auch der Inhalt geändert werden (z.B. in die Seite nen schöner Exploit eingeschoben werden ==> BUMM!).

  3. Re: http ist per Google-Definition böse - was soll das ?

    Autor: chefin 10.02.20 - 14:52

    PSmith schrieb:
    --------------------------------------------------------------------------------
    > Was soll das, pauschal zu sagen, das http per (Google-)Definition böse ist
    > ?
    > Erstens gibt es ja auch im Internet Browser, die nur Informationen für die
    > Allgemeinheit anbieten, und keinerlei Login/Authentifizierung fordern.
    > Wieso sollte es also böse sein, unverschlüsselt Content anzubieten, den
    > sowieso jeder lesen soll und kann ?
    > Zweitens gibt es eine Unmenge Geräte / Infrastrukturkomponenten, die mit
    > einem selbstgerechneten (und damit ungültigen) Zertifikat https anbieten,
    > oder eben für die Konfiguration oder Einsicht (Statusseite bspw.) gar kein
    > https anbieten - aber das eben nicht im Internet sondern im lokalen Netz.
    > Warum soll ich die Möglichkeit genommen bekommen, hier nicht doch den
    > Browser dazu nutzen zu können ?
    > Aber wenn Google ruft, rennen alle hinterher ... verrückt.


    Lesen und verstehen

    es geht nicht um HTTP sondern um Mixed Webspace.

    Wenn du auf HTTPS verschlüssselt surfst und sdir also sicher bist, das dir nichts manipuliert werden kann, aber dann ein Download den du startest unverschlüsselt zugeschickt wird, könnte der komprimitiert sein. Bist du eh auf einer HTTP-Seite und der Download kommt per HTTP...stört das keinen. Du weist es ja dann und wähnst dich nicht auf der sicheren Seite.

    Downloads großer Datenmengen verschlüsseln kostet Rechenzeit. Contentanbieter die tricksen wollen, sparen sich daher das Verschlüsseln von Downloads, nur der Webcontent selbst wird verschlüsselt(HTTPS). Das sind ziemlich fiese Lücken weil du das NICHT erkennen kannst. Es gibt keine Anzeige ob ein Download verschlüsselt oder unverschlüsselt gesendet wurde. Lediglich du gehst davon aus, das es verschlüsselt ist, wenn die Seite HTTPS fährt.

    Hoffe es nun auch für dich gut erklärt zu haben.

  4. Re: http ist per Google-Definition böse - was soll das ?

    Autor: Quantium40 10.02.20 - 15:22

    masterx244 schrieb:
    > Ohne HTTPS kann wenn sich irgendwer in die Verbindung hängen kann auch der
    > Inhalt geändert werden (z.B. in die Seite nen schöner Exploit eingeschoben
    > werden ==> BUMM!).

    Was ist wahrscheinlicher?
    a) ein MitM-Angriff, bei dem jemand die Inhalte auf dem Transportweg modifiziert
    b) ein gehackter Server, der die Malware direkt per HTTPS ausliefert
    c) Malware per HTTPS aus dem Werbeframe
    d) eine geklaute Domain, deren neuer Server Inhalte direkt per HTTPS ausliefert

    Spätestens seit Letsencrypt sind Zertifikate genau gar nichts mehr wert.

  5. Re: http ist per Google-Definition böse - was soll das ?

    Autor: Quantium40 10.02.20 - 15:25

    chefin schrieb:
    > Downloads großer Datenmengen verschlüsseln kostet Rechenzeit.
    Und Rechenzeit kostet auch Geld und Energie.
    Global betrachtet dürfte diese tolle Idee der Chrome-Macher also eine ziemliche Umweltsauerei ergeben.

    > Das sind ziemlich fiese Lücken weil du das NICHT erkennen kannst. Es gibt keine
    > Anzeige ob ein Download verschlüsselt oder unverschlüsselt gesendet wurde.

    Komisch - bei mir zeigt selbst Chrome ganz genau an, ob mein Download per HTTP oder per HTTPS kam. (einfach mal Strg+J drücken)



    1 mal bearbeitet, zuletzt am 10.02.20 15:27 durch Quantium40.

  6. Re: http ist per Google-Definition böse - was soll das ?

    Autor: pythoneer 10.02.20 - 15:49

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Spätestens seit Letsencrypt sind Zertifikate genau gar nichts mehr wert.

    Warum das?

  7. Re: http ist per Google-Definition böse - was soll das ?

    Autor: error126 10.02.20 - 16:35

    ich sehe noch ein ganz anderes Problem... durch den Zwang auf https seitens Google und Anderen sieht man auch nicht mehr direkt, welche Daten da so abgestaubsaugt werden, da die Verbindungen entsprechend verschlüsselt sind.
    Vorher hatte man wenigstens mal die Möglichkeit, den Wireshark mitlaufen zu lassen und mal zu gucken, was so weggesendet wird; mittlerweile muss dafür noch zusätzlich ein MITM Proxy her...

  8. Re: http ist per Google-Definition böse - was soll das ?

    Autor: McWiesel 10.02.20 - 16:41

    pythoneer schrieb:
    --------------------------------------------------------------------------------
    > Quantium40 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Spätestens seit Letsencrypt sind Zertifikate genau gar nichts mehr wert.
    >
    > Warum das?

    Früher konnte man weniger IT-affinen Menschen noch gut erklären, dass sie bei Betrugsseiten, die Zugangsdaten für Onlinebanking & Co abgreifen wollten, recht gut am fehlenden https erkennen können.

    Heute sind die Phishing-Seiten dank https kaum noch von den echten Seiten zu unterscheiden, das ist insbesondere am Handy selbst für Profis schon auf den ersten Blick schwer. Zusätzlich ist https ausgeblendet und das Schloss so unsichtbar-grau, dass da auch kein Schwein mehr drauf achtet.

    Wie schön waren die Zeiten, wo Zertifikate quasi nur für Firmen erhältlich waren und funktionierende Verschlüsselung & vertrauenswürdige Zertifikate in Chrome deutlich grün bzw. rot dargestellt wurden. Google baut in der letzten Zeit nur noch Mist, kein Wunder das Onlinebetrugsfälle explodieren. Mittlerweile kann man da schon fast von Beihilfe sprechen.



    1 mal bearbeitet, zuletzt am 10.02.20 16:42 durch McWiesel.

  9. Re: http ist per Google-Definition böse - was soll das ?

    Autor: WalterSobchak 10.02.20 - 16:43

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Spätestens seit Letsencrypt sind Zertifikate genau gar nichts mehr wert.

    LOL. Und das waren sie vorher mit comodo und Symantec? Du liest wohl keine tech-news?

  10. Re: http ist per Google-Definition böse - was soll das ?

    Autor: tonion 10.02.20 - 18:13

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Was ist wahrscheinlicher?
    > a) ein MitM-Angriff, bei dem jemand die Inhalte auf dem Transportweg
    > modifiziert
    > b) ein gehackter Server, der die Malware direkt per HTTPS ausliefert
    > c) Malware per HTTPS aus dem Werbeframe
    > d) eine geklaute Domain, deren neuer Server Inhalte direkt per HTTPS
    > ausliefert

    Vor paar Jahren gabs so tolle Android Apps die man sich runterladen konnte. Damit ging man dann in einen öffentlichen Hotspot und konnte nach belieben Bilder, Texte und JavaScript in http Seiten injecten. Nebenbei wurden noch alle übertragenen Cookies gespeichert. Heutzutage lohnt sich sowas kaum noch, da fast alles https ist und alle Leute eh nur dieselben 3 Seiten besuchen. Bei den Amis hat man dann noch Comcast, die gelegentlich irgendwelche Popups in http seiten einbauen.

    Von staatlichen Akteuren welche weniger Interesse an Menschenrechten zeigen und lieber sehen (und kontrollieren) wollen was ihre Bürger so im Internet machen muss ich hier glaub ich gar nicht erst reden.

  11. Re: http ist per Google-Definition böse - was soll das ?

    Autor: pythoneer 10.02.20 - 20:13

    McWiesel schrieb:
    --------------------------------------------------------------------------------
    > Früher konnte man weniger IT-affinen Menschen noch gut erklären, dass sie
    > bei Betrugsseiten, die Zugangsdaten für Onlinebanking & Co abgreifen
    > wollten, recht gut am fehlenden https erkennen können.

    Was wohl damals schon keine gute Idee war nehme ich an.

    > Heute sind die Phishing-Seiten dank https kaum noch von den echten Seiten
    > zu unterscheiden, das ist insbesondere am Handy selbst für Profis schon auf
    > den ersten Blick schwer. Zusätzlich ist https ausgeblendet und das Schloss
    > so unsichtbar-grau, dass da auch kein Schwein mehr drauf achtet.

    Warum trägt Letsencrypt dafür die Schuld?

    > Wie schön waren die Zeiten, wo Zertifikate quasi nur für Firmen erhältlich
    > waren und funktionierende Verschlüsselung & vertrauenswürdige Zertifikate
    > in Chrome deutlich grün bzw. rot dargestellt wurden. Google baut in der
    > letzten Zeit nur noch Mist, kein Wunder das Onlinebetrugsfälle explodieren.
    > Mittlerweile kann man da schon fast von Beihilfe sprechen.

    Warum trägt Letsencrypt dafür die Schuld? Genauso wie damals kann man auch heute ein EV Cert nur bekommen wenn man die Vergabekriterien erfüllt. Und genauso wie vor Letsencrypt konnte man einfache DV Certs so gut wie anonym bei den üblichen verdächtigen bekommen. Ich sehe nicht was sich mit Letsencrypt geändert hätte.

  12. Re: http ist per Google-Definition böse - was soll das ?

    Autor: Xar 11.02.20 - 00:15

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > chefin schrieb:
    > > Downloads großer Datenmengen verschlüsseln kostet Rechenzeit.
    > Und Rechenzeit kostet auch Geld und Energie.
    > Global betrachtet dürfte diese tolle Idee der Chrome-Macher also eine
    > ziemliche Umweltsauerei ergeben.

    Wieso sollte <1% Mehraufwand eine Umweltsauerei sein?
    Wenn du noch eine alten Server aus XP-Zeiten hast und alles mit 3DES verschlüsselst, dann hast du vielleicht recht, unter einer modernen Konfiguration nicht.

  13. Re: http ist per Google-Definition böse - was soll das ?

    Autor: Truster 11.02.20 - 08:56

    das Problem war an den EV Zertifikaten, dass durch den starken Preiskampf durchaus Munter EV Zertifikate an nicht berechtige Personen ausgestellt wurde. Somit verlor ein EV Zertifikat noch weiter an Wert und hat heute defacto keine Bedeutung mehr. Firefox zeigt in der Adressleiste Standardmäßig auch kein EV Zertifikat mehr an.

  14. Re: http ist per Google-Definition böse - was soll das ?

    Autor: pythoneer 11.02.20 - 15:34

    Damit wäre also geklärt, dass Letsencrypt damit nichts zu tun hat.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. OEDIV KG, Bielefeld
  2. SCHOTT AG, Mainz, Müllheim, Lukácsháza (Ungarn)
  3. TenneT TSO GmbH, Bayreuth
  4. über duerenhoff GmbH, Bonn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-20%) 47,99€
  2. (-15%) 16,99€
  3. (-10%) 8,99€
  4. (-15%) 42,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Buglas: Corona-Pandemie zeigt Notwendigkeit der Glasfaser
Buglas
Corona-Pandemie zeigt Notwendigkeit der Glasfaser

Mehr Datenupload und Zunahme der Sprachtelefonie bringe die Netze unter Druck. FTTB/H-Betreiber bleiben gelassen.
Eine Exklusivmeldung von Achim Sawall

  1. PEPP-PT Neuer Standard für Corona-Warnungen vorgestellt
  2. Coronavirus Covid-19-App der Telekom prüft Zertifikate nicht
  3. Corona Lidl Connect setzt Drosselung herauf

Coronavirus: Spiele statt Schule
Coronavirus
Spiele statt Schule

Wer wegen des Coronavirus mit Kindern zu Hause ist, braucht einen spannenden Zeitvertreib. Unser Autor - selbst Vater - findet: Computerspiele können ein sinnvolles Angebot sein. Vorausgesetzt, man wählt die richtigen.
Von Rainer Sigl

  1. Coronavirus Funktion zur Netflix-Drosselung war längst geplant
  2. Coronakrise China will Elektroautoquote vorübergehend lockern
  3. Corona-Krise Palantir könnte Pandemie-Daten in Europa auswerten

Indiegames-Rundschau: Einmal durchspielen in 400 Tagen
Indiegames-Rundschau
Einmal durchspielen in 400 Tagen

Im Indiegame The Longing warten wir 400 Tage in Echtzeit, in Broken Lines kämpfen wir im Zweiten Weltkrieg und Avorion schickt uns ins Universum.
Von Rainer Sigl

  1. A Maze Berliner Indiegames-Festival sucht Unterstützer
  2. Spielebranche Überleben in der Indiepocalypse
  3. Ancestors im Test Die Evolution als Affenzirkus