Die Macht der Browser: Kürzere Gültigkeit von HTTPS-Zertifikaten

Veröffentlicht Veröffentlicht in News

Chrome, Firefox und Safari akzeptieren künftig nur noch Zertifikate mit Gültigkeit von maximal einem Jahr und einem Monat, also 398 Tagen. Dies gilt für Zertifikate, die ab dem 1. September 2020 ausgestellt werden. Ausgenommen sind Wurzelzertifikate, welche länger gültig sein dürfen.

https://support.apple.com/en-us/HT211025

https://blog.mozilla.org/security/2020/07/09/reducing-tls-certificate-lifespans-to-398-days

https://chromium.googlesource.com/chromium/src/+/master/net/docs/certificate_lifetimes.md

Selbstvertrauen oder klein bei? Browser geben XSS-Schutz auf

Veröffentlicht Veröffentlicht in News

In der aktuell verteilten Version des Chrome-Browsers ist der sogenannte XSS-Auditor, der seit 2010 (Chrome Version 4) versucht hatte, Nutzer vor Cross-Site Scripting (XSS) zu schützen, nicht mehr enthalten. Das Katz- und Maus-Spiel mit den Angreifern war zu schwierig, immer wieder wurden Lücken in dem Filter gefunden. Nun hat Google an dieser Front aufgegeben, so wie schon Microsoft letztes Jahr in Edge. Zwar stehen Web-Standards wie Content Security Policy (CSP) bereit, die XSS weitgehend einschränken können. Diese müssten jedoch von Seitenbetreibern viel konsequenter eingesetzt werden.

Für den Selbstschutz des Browsers ist ein Neubeginn angekündigt. Ein neuer offener Standard „Trusted Types API“ soll angeblich in der Lage sein, zumindest DOM-basiertem XSS ein für alle Mal den Garaus zu machen.

https://www.zdnet.com/article/google-to-remove-chromes-built-in-xss-protection-xss-auditor/

Mixed Feelings: Mixed Content zum Abschuss freigegeben

Veröffentlicht Veröffentlicht in News

„Mixed Content“ im WWW bedeutet, dass sich auf einer verschlüsselten Seite auch unverschlüsselte Elemente befinden. Bisher erlaubten Browser dies noch – in der Rege mit Warnung – oder ließen es zumindest freischalten. In Chrome 80 (1/2020) werden zunächst audio+video von http: zu https: auto-remapped. Mixed Content kann immer noch freigeschaltet werden. Ab Chrome 81 (2/2020) werden auch Bilder auf https: zwangsgemapped. Mixed Content kann dann nicht mehr freigeschaltet werden. Andere Browser dürften nachziehen. Höchste Zeit also, alten Seiten mit diesem archaischen und unsicheren Überbleibsel das Gnadenbrot zu entziehen.

https://blog.chromium.org/2019/10/no-more-mixed-messages-about-https.html