1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Google: Chrome soll langfristig HTTP…

Localhost?

  1. Thema

Neues Thema Ansicht wechseln


  1. Localhost?

    Autor: ZeldaFreak 10.02.20 - 13:55

    Für reine lokale bzw. interne Seiten macht es wenig Sinn da sich SSL auf die Server zu packen und da mit den Zertifikaten zu hantieren. Es ist auch nicht so unsicher, solange die Rechner nicht kompromittiert sind, wobei da hat man ganz andere Probleme.

  2. Re: Localhost?

    Autor: paramedico 10.02.20 - 14:08

    Stimmt.

    Und wenn Google in Chrome nicht nur http-Downloads blockt, sondern als weiteren logischen Schritt auch den http-Aufruf von Webseiten, dann werden Chromenutzer von großen Teilen des Internets abgehängt werden. Denn es gibt durchaus immer noch zwingende Gründe, eine Website auf http zu fahren.

  3. Re: Localhost?

    Autor: atomie 10.02.20 - 14:08

    aber so schwierig ist nun auch nicht sich ein selbst signiertes zertifikat zu erstellen.

  4. Re: Localhost?

    Autor: ubuntu_user 10.02.20 - 14:12

    atomie schrieb:
    --------------------------------------------------------------------------------
    > aber so schwierig ist nun auch nicht sich ein selbst signiertes zertifikat
    > zu erstellen.

    die sind doch als nächstes dran

  5. Re: Localhost?

    Autor: elgooG 10.02.20 - 14:18

    Es ist trotzdem viel unnötiger Entwicklungsaufwand bei Intranet-Seiten und Webinterfaces für Geräte und Dienste.

    Wenn das so weitergeht, kann das auch nach hinten losgehen. Selbst wenn man selbstsignierte Zertifikate für lokale Seiten nimmt, warnt der Browser trotzdem davor und blockt es in Zukunft vielleicht sogar ganz. Wenn die interne Kantinenseite dann über Port 80/443 im Internet erreichbar sein muss damit Let's Encrypt funktioniert und ein Einfallstor wird läuft etwas schief.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  6. Re: Localhost?

    Autor: eeg 10.02.20 - 14:43

    Brauchst du doch auch nicht. Es geht um unverschlüsselte Downloads, die von HTTPS Seiten aus gestartet wurden.

  7. Re: Localhost?

    Autor: chefin 10.02.20 - 14:56

    ZeldaFreak schrieb:
    --------------------------------------------------------------------------------
    > Für reine lokale bzw. interne Seiten macht es wenig Sinn da sich SSL auf
    > die Server zu packen und da mit den Zertifikaten zu hantieren. Es ist auch
    > nicht so unsicher, solange die Rechner nicht kompromittiert sind, wobei da
    > hat man ganz andere Probleme.


    Lese nochmal genau nach

    Es geht nicht drum generell HTTP zu verbieten, sondern nur drum, den Wechsel zwischen verschlüsselter Seite und unverschlüsseltem Download. Du klickst auf einer HTTPS-Seite einen Download an und erwartest eine verschlüsselte Übertragung, so wie der Inhalt selbst ja auch. Kommen tut aber ein unverschlüsselter Download, weil das Rechenzeit am Server spart.

    Nur um diese Faulheit der Administratoren geht es, bzw gieriges Rechnenzeitsparen zur Gewinnoptimierung auf Kosten der Sicherheit.

    Dein Localhost unverschlüsselt hat damit garnichts zu tun.

  8. Re: Localhost?

    Autor: ZeldaFreak 10.02.20 - 16:09

    chefin schrieb:
    --------------------------------------------------------------------------------
    > ZeldaFreak schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Für reine lokale bzw. interne Seiten macht es wenig Sinn da sich SSL auf
    > > die Server zu packen und da mit den Zertifikaten zu hantieren. Es ist
    > auch
    > > nicht so unsicher, solange die Rechner nicht kompromittiert sind, wobei
    > da
    > > hat man ganz andere Probleme.
    >
    > Lese nochmal genau nach
    >
    > Es geht nicht drum generell HTTP zu verbieten, sondern nur drum, den
    > Wechsel zwischen verschlüsselter Seite und unverschlüsseltem Download. Du
    > klickst auf einer HTTPS-Seite einen Download an und erwartest eine
    > verschlüsselte Übertragung, so wie der Inhalt selbst ja auch. Kommen tut
    > aber ein unverschlüsselter Download, weil das Rechenzeit am Server spart.
    >
    > Nur um diese Faulheit der Administratoren geht es, bzw gieriges
    > Rechnenzeitsparen zur Gewinnoptimierung auf Kosten der Sicherheit.
    >
    > Dein Localhost unverschlüsselt hat damit garnichts zu tun.

    Das ist aber nur eine Frage der Zeit. Stimmt allerdings dass ich beim Schreiben diesen Teil des Artikels wieder verdrängt habe.

    Wer im eigenen LAN trotzdem mit HTTPS arbeiten will, hat es trotzdem nicht einfach. Zugegeben ich habe mich da nicht eingelesen, wie man das am besten mit selbst Signierten Zertifikaten macht. Da muss man die Zertifikate aber dann auf allen Geräten Zulassen und das ohne gemeckere. Auf meinem Webserver ist das mit den Zertifikaten sehr einfach. Einfach mal auf ein paar Knöpfchen gedrückt und Zack ist das Zertifikat da.
    Ich bin Entwickler und kein Admin der Server aufsetzen will. Ich bin froh dass der BSI nicht mehr meine Server Offline nimmt und ich mich nicht mehr von den Root Konten aussperre. Gut das mit dem BSI war der Windows Server und ich habe rum gespielt und mal eben so ein offenes DNS Relay geschaffen.

    Meinetwegen kann Chrome und Firefox da immer mehr Einschränken, solange lokale Adressen ausgenommen sind. Da ist es ja auch Wurst wie Up to date etwas ist.

  9. Re: Localhost?

    Autor: maverick1977 11.02.20 - 04:29

    atomie schrieb:
    --------------------------------------------------------------------------------
    > aber so schwierig ist nun auch nicht sich ein selbst signiertes zertifikat
    > zu erstellen.

    Es ist noch nicht einmal schwierig, eine eigene CA zu werden, um sich selbst ein Root-CA in den Browser zu installieren. Damit signierte Zertifikate werden, sofern das Root-CA auf jedem Gerät importiert ist, auf jedem Gerät im Heimnetz erkannt.

    Und weil es nur im Heimnetz ist, kann man eine Zertifikatsgültigkeit von 20 Jahren locker verantworten.

  10. Re: Localhost?

    Autor: Truster 11.02.20 - 08:32

    Welche?

  11. Re: Localhost?

    Autor: Truster 11.02.20 - 08:35

    solange man noch selbst ausgestellte Zertifikate austellen kann und die ganze Kette importieren kann, wäre das Okay. Was wirklich nicht geht ist ein einziges Zertifikat, was sowohl als CA als auch Serverzertifikat fungiert - eben ein klassisches self-signed-certificate. Ich wüsste nicht einen Zweck, wo man es unbedingt bei diesem Zertifikat belassen sollte.

  12. Re: Localhost?

    Autor: Schlitzauge 11.02.20 - 13:30

    chefin schrieb:
    --------------------------------------------------------------------------------
    > ZeldaFreak schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Für reine lokale bzw. interne Seiten macht es wenig Sinn da sich SSL auf
    > > die Server zu packen und da mit den Zertifikaten zu hantieren. Es ist
    > auch
    > > nicht so unsicher, solange die Rechner nicht kompromittiert sind, wobei
    > da
    > > hat man ganz andere Probleme.
    >
    > Lese nochmal genau nach
    >
    > Es geht nicht drum generell HTTP zu verbieten, sondern nur drum, den
    > Wechsel zwischen verschlüsselter Seite und unverschlüsseltem Download. Du
    > klickst auf einer HTTPS-Seite einen Download an und erwartest eine
    > verschlüsselte Übertragung, so wie der Inhalt selbst ja auch. Kommen tut
    > aber ein unverschlüsselter Download, weil das Rechenzeit am Server spart.
    >
    > Nur um diese Faulheit der Administratoren geht es, bzw gieriges
    > Rechnenzeitsparen zur Gewinnoptimierung auf Kosten der Sicherheit.
    >
    > Dein Localhost unverschlüsselt hat damit garnichts zu tun.

    Was hat das mit Faulheit der Administratoren zu tun?
    Und unterschätze mal nicht den deutlichen MEHRaufwand für eine verschlüsselt übertragene Leitung. Nicht alles hat nur was mit Gewinnmaximierung zu tun. Es macht absolut null Sinn Dinge verschlüsselt zu übertragen, die überhaupt nicht brisant sind. Das würde nicht nur sinnlos den Gewinn schmälern (zumal nicht jede Webseite mit Gewinn arbeitet), sondern auch nachhaltig schlecht sein.

  13. Re: Localhost?

    Autor: ibsi 11.02.20 - 13:51

    paramedico schrieb:
    --------------------------------------------------------------------------------
    > Stimmt.
    >
    > Und wenn Google in Chrome nicht nur http-Downloads blockt, sondern als
    > weiteren logischen Schritt auch den http-Aufruf von Webseiten, dann werden
    > Chromenutzer von großen Teilen des Internets abgehängt werden.
    Auf die paar HTTP-Seiten kann ICH zum Glück verzichten.

    > Denn es gibt
    > durchaus immer noch zwingende Gründe, eine Website auf http zu fahren.
    Echt, 2020 gibt es gründe für HTTP im Internet? Was bitte sind das für Gründe?

  14. Re: Localhost?

    Autor: ibsi 11.02.20 - 13:59

    Schlitzauge schrieb:
    --------------------------------------------------------------------------------
    > Was hat das mit Faulheit der Administratoren zu tun?
    Das ist natürlich quatsch. Denn es ist ja ein Mehrwaufwand das für Downloads anzupassen.

    > Und unterschätze mal nicht den deutlichen MEHRaufwand für eine
    > verschlüsselt übertragene Leitung.
    Bei Websites (http/https)? Quasi egal.

    > Nicht alles hat nur was mit
    > Gewinnmaximierung zu tun.
    Lass ich mal so stehen

    > Es macht absolut null Sinn Dinge verschlüsselt zu
    > übertragen, die überhaupt nicht brisant sind.
    Klar ERGIBT das Sinn. Besonders bei Downloads.
    Die neuste Chrome Version laden? Klar ... durch das HTTP kann sich halt jeder über MitM an den Daten zu schaffen machen.

    Rechnung? Ach, machen wir aus der Kontonummer mal meine ;)
    Stimmt, Downloads sind egal.

    > Das würde nicht nur sinnlos
    Sinnlos ist es nicht, siehe oben
    > den Gewinn schmälern (zumal nicht jede Webseite mit Gewinn arbeitet),
    also bitte, wir reden hier von winzigen Werten.

    > sondern auch nachhaltig schlecht sein.
    Nein

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Wunstorf
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. Altair Engineering GmbH, Böblingen, München
  4. Deutsche Forschungsgemeinschaft e. V., Bonn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Streaming: Zehn besondere Serien für die Zeit der Isolation
Streaming
Zehn besondere Serien für die Zeit der Isolation

Kein Kino, kein Fitnessstudio, kein Theater, keine Bars, kein gar nix. Das Coronavirus hat das Land (und die Welt) lahmgelegt, so dass viele nun zu Hause sitzen: Zeit für Serien-Streaming.
Eine Rezension von Peter Osteried

  1. Videostreaming Fox kauft Tubi für 440 Millionen US-Dollar
  2. Musikindustrie in Deutschland Mehr Umsatz dank Audiostreaming
  3. Besuch bei Justwatch Größte Streaming-Suchmaschine ohne echte Konkurrenz

Coronavirus: Spiele statt Schule
Coronavirus
Spiele statt Schule

Wer wegen des Coronavirus mit Kindern zu Hause ist, braucht einen spannenden Zeitvertreib. Unser Autor - selbst Vater - findet: Computerspiele können ein sinnvolles Angebot sein. Vorausgesetzt, man wählt die richtigen.
Von Rainer Sigl

  1. Digitalisierung in der Coronafalle Warum freiwilliges Handy-Tracking nicht funktioniert
  2. Sport@home Kampfkunst geht online
  3. Coronavirus Funktion zur Netflix-Drosselung war längst geplant

Coronakrise: Hardware-Industrie auf dem Weg der Besserung
Coronakrise
Hardware-Industrie auf dem Weg der Besserung

Fast alle Fabriken für Hardware laufen wieder - trotz verlängertem Chinese New Year. Bei Launches und Lieferengpässen sieht es anders aus.
Ein Bericht von Marc Sauter

  1. Kaufberatung (2020) Die richtige CPU und Grafikkarte
  2. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen